הערות גרסה לאבטחה של Android 11

פורסם ב -25 באוגוסט 2020 | עודכן ב -27 בינואר 2021

הערות מהדורה אלה של אבטחת אנדרואיד מכילות פרטי פגיעות אבטחה המשפיעות על מכשירי אנדרואיד אשר מטופלות כחלק מאנדרואיד 11. מכשירי Android 11 עם רמת תיקון אבטחה 2020-09-01 ואילך מוגנים מפני בעיות אלה (Android 11, כפי שפורסם ב- AOSP, תהיה ברירת מחדל של תיקון אבטחה של 2020-09-01). כדי ללמוד כיצד לבדוק רמת תיקון האבטחה של מכשיר, לראות לבדוק ולעדכן את גרסת Android שלך .

שותפי אנדרואיד מקבלים הודעה על כל הבעיות לפני הפרסום. תיקוני קוד המקור לבעיות אלה ישוחררו למאגר פרויקט קוד פתוח של Android (AOSP) כחלק מהמהדורה של Android 11.

הערכת חומרת בעיות בנתון גרסה אלה מבוססות על ההשפעה שתהיה לניצול הפגיעות ואולי יצטרך על התקן מושפע, בהנחת הקלות הפלטפורמה ושירות כבויות למטרות פיתוח או אם עקפו בהצלחה.

לא היו לנו דיווחים על ניצול לקוחות פעיל או ניצול לרעה של בעיות אלה שדווחו לאחרונה. עיין אנדרואיד ו- Google Play קלת גן סעיף לפרטים על גינות פלטפורמת אבטחת אנדרואיד ו- Google Play להגן, אשר לשפר את האבטחה של פלטפורמת אנדרואיד.

הודעות

  • הנושאים המתוארים במסמך זה מטופלים כחלק מ- Android 11. מידע זה ניתן לעיון ושקיפות.
  • ברצוננו להודות ולהודות לקהילת מחקר האבטחה עבור תרומות המשיכה שלהם כלפי הבטחת סביבת Android.

הפרעות שירות אנדרואיד וגוגל

זהו סיכום של ההקלות שמספקות פלטפורמת אבטחת אנדרואיד גינות ושירות כגון Google Play גן . יכולות אלה מצמצמות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה ב- Android.

  • הניצול לבעיות רבות באנדרואיד מתקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת האנדרואיד. אנו ממליצים לכל המשתמשים להתעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות האבטחה של אנדרואיד פעיל מפקח על התעללות באמצעות Google Play גן והמזהיר משתמש על יישומים בעלי פוטנציאל מזיקים . Google Play הגן מופעלת כברירת מחדל בהתקנים עם שירותים של Google Mobile , והיא חשובה במיוחד עבור משתמשים אשר מתקינים אפליקציות מחוץ ל- Google Play.

פרטי הפגיעות של Android 11

הסעיפים הבאים מספקים פרטים על פגיעויות אבטחה קבוע כחלק פגיעויות 11. אנדרואיד מקובצים תחת הרכיב שהם משפיעים ולכלול פרטים כגון CVE, אזכור קשור, סוג של פגיעות , ואת חומרה .

זמן ריצה של אנדרואיד

CVE הפניות סוּג חוּמרָה
CVE-2020-0330 A-150331085 EoP לְמַתֵן

מִסגֶרֶת

CVE הפניות סוּג חוּמרָה
CVE-2020-0267 א -139128211 EoP קריטי
CVE-2020-0275 A-150507736 EoP גָבוֹהַ
CVE-2020-27098 א -138791358 EoP גָבוֹהַ
CVE-2020-0337 A-124329382 תְעוּדַת זֶהוּת גָבוֹהַ
CVE-2020-0338 א -123700107 תְעוּדַת זֶהוּת גָבוֹהַ
CVE-2020-27097 A-140729426 תְעוּדַת זֶהוּת גָבוֹהַ
CVE-2020-0333 A-73822755 RCE לְמַתֵן
CVE-2019-13734 א -147323008 EoP לְמַתֵן
CVE-2019-13752 א -147320136 EoP לְמַתֵן
CVE-2019-13753 א -147320314 EoP לְמַתֵן
CVE-2020-0130 א -123230379 EoP לְמַתֵן
CVE-2020-0277 א -148627993 EoP לְמַתֵן
CVE-2020-0341 א -144920149 EoP לְמַתֵן
CVE-2020-0345 A-144286721 EoP לְמַתֵן
CVE-2020-0366 א -138443815 EoP לְמַתֵן
CVE-2019-13751 א -147322738 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0288 א -153995991 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0289 א -153996872 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0290 א -153996866 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0293 א -141455849 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0296 א -153356209 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0297 א -155183624 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0308 א -153654357 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0312 A-153879099 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0317 A-119671929 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0343 A-119672472 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0352 א -132074310 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0372 A-119673147 תְעוּדַת זֶהוּת לְמַתֵן

סִפְרִיָה

CVE הפניות סוּג חוּמרָה
CVE-2020-0369 A-130231426 EoP לְמַתֵן
CVE-2019-8842 א -141551144 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0322 A-147002540 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0323 א -146516087 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0425 A-124000380 תְעוּדַת זֶהוּת גָבוֹהַ
CVE-2020-0426 A-154921790 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-3898 A-111450151 תְעוּדַת זֶהוּת לְמַתֵן

מסגרת תקשורתית

CVE הפניות סוּג חוּמרָה
CVE-2020-0264 א -116718596 RCE לְמַתֵן
CVE-2020-0303 A-148223229 RCE לְמַתֵן
CVE-2020-0321 א -155171907 RCE לְמַתֵן
CVE-2020-0306 A-139666480 EoP לְמַתֵן
CVE-2020-0336 א -153467444 EoP לְמַתֵן
CVE-2020-0346 א -147002762 EoP לְמַתֵן
CVE-2020-0356 א -143787559 EoP לְמַתֵן
CVE-2020-0357 A-150225569 EoP לְמַתֵן
CVE-2020-0358 A-150227563 EoP לְמַתֵן
CVE-2020-0360 A-145129456 EoP לְמַתֵן
CVE-2020-0406 A-137794014 EoP לְמַתֵן
CVE-2020-0125 א -137282168 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0270 A-145790628 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0274 A-120781925 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0279 א -131430997 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0314 A-154934920 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0324 A-136660304 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0328 A-150156131 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0329 A-63522940 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0340 A-144901522 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0344 A-140729887 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0355 א -141883493 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0359 A-150303018 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0361 א -151927433 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0364 א -137282770 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0370 A-112051700 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0373 א -146894086 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0287 א -18860394 DoS לְמַתֵן
CVE-2020-0301 א -124940460 DoS לְמַתֵן
CVE-2020-0320 א -129282427 DoS לְמַתֵן
CVE-2020-0332 א -124783982 DoS לְמַתֵן
CVE-2020-0351 א -124777537 DoS לְמַתֵן
CVE-2020-0353 א -124777526 DoS לְמַתֵן
CVE-2020-0362 A-123237930 DoS לְמַתֵן
CVE-2020-0363 א -132274514 DoS לְמַתֵן

מערכת

CVE הפניות סוּג חוּמרָה
CVE-2020-0266 א -111086459 EoP גָבוֹהַ
CVE-2020-0374 א -156251602 EoP גָבוֹהַ
CVE-2020-0375 א -156253476 EoP גָבוֹהַ
CVE-2020-0318 A-33646131 DoS גָבוֹהַ
CVE-2020-0354 א -143604331 RCE לְמַתֵן
CVE-2019-5094 א -141639890 EoP לְמַתֵן
CVE-2020-0089 א -137015603 EoP לְמַתֵן
CVE-2020-0262 A-156353008 EoP לְמַתֵן
CVE-2020-0268 A-148294643 EoP לְמַתֵן
CVE-2020-0271 A-144507081 EoP לְמַתֵן
CVE-2020-0273 A-155646800 EoP לְמַתֵן
CVE-2020-0298 A-145129266 EoP לְמַתֵן
CVE-2020-0299 A-145130119 EoP לְמַתֵן
CVE-2020-0309 א -147227320 EoP לְמַתֵן
CVE-2020-0319 א -137868765 EoP לְמַתֵן
CVE-2020-0326 א -146453119 EoP לְמַתֵן
CVE-2020-0334 א -147995915 EoP לְמַתֵן
CVE-2020-0335 א -122361504 EoP לְמַתֵן
CVE-2020-0347 A-136658008 EoP לְמַתֵן
CVE-2020-0350 A-139424089 EoP לְמַתֵן
CVE-2020-0405 א -157475111 EoP לְמַתֵן
CVE-2020-0263 A-154913130 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0265 A-150155839 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0269 א -151645626 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0272 A-130166487 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0276 א -156253586 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0281 א -137857778 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0282 A-144506224 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0284 א -156253784 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0285 א -156253479 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0286 A-150214479 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0291 א -146032016 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0292 A-110107252 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0295 A-155650969 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0300 א -148736216 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0302 A-151646375 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0304 א -151645695 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0307 א -151645867 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0310 א -153356468 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0311 א -153878642 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0313 A-154917989 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0315 א -155642026 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0316 A-154934919 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0325 א -145079309 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0327 א -129151407 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0331 א -147309310 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0348 א -139188582 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0349 א -139188779 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0365 א -137346580 DoS לְמַתֵן

שאלות ותשובות נפוצות

חלק זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלה?

כדי ללמוד כיצד לבדוק רמת תיקון האבטחה של מכשיר, לראות לבדוק ולעדכן את גרסת Android שלך .

ל- Android 11, כפי שפורסם ב- AOSP, יש רמת תיקון אבטחה ברירת מחדל של 2020-09-01. מכשירי אנדרואיד שבהם פועל אנדרואיד 11 וברמת תיקון אבטחה 2020-09-01 ואילך מתייחסים לכל הבעיות הכלולות בהערות גרסה אלה של אבטחה.

2. מה לעשות הערכים הממוצעים בעמודת סוג?

לערכים בעמודת הסוג של פגיעות מפרט התייחסות שולחן הסיווג של פגיעות האבטחה.

נוֹטָרִיקוֹן הַגדָרָה
RCE ביצוע קוד מרחוק
EoP העלאת פריבילגיה
תְעוּדַת זֶהוּת גילוי מידע
DoS מניעת שירות
N/A הסיווג אינו זמין

3. מה לעשות הערכים הממוצעים בעמודת הפניות?

רשום תחת עמודת ההפניות של שולחן פרטי פגיעות עלולים להכיל קידומת זיהוי הארגון שאל לערך הייחוס שייך.

קידומת התייחסות
א- מזהה באג לאנדרואיד

גרסאות

גִרְסָה תַאֲרִיך הערות
1.0 25 באוגוסט 2020 פורסמו הערות מהדורה לאבטחה
1.1 30 בדצמבר 2020 רשימת בעיות מעודכנת
1.2 27 בינואר 2021 רשימת סוגיות מעודכנת