Опубликовано 7 октября 2019 г. | Обновлено 29 июня 2020 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Для устройств Google исправления системы безопасности 2019-10-05 или более поздние устраняют все проблемы, указанные в этом бюллетене, и все проблемы, указанные в бюллетене по безопасности Android за октябрь 2019 года. Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в Справочном центре.
Исправление системы безопасности 2019-10-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.
Объявления
- Устройства Pixel 1 и Pixel 2 в рамках обновления за октябрь получат исправление для уязвимости CVE-2019-2215. На устройствах Pixel 3 и Pixel 3a эта уязвимость отсутствует.
- Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за октябрь 2019 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Партнеры были уведомлены об этих проблемах не менее месяца назад и могут включить их исправления в свои обновления системы безопасности.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), Дополнительные ссылки перечислены в квадратных скобках.
Фреймворк
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-2183 | A-136261465 | ID | Высокий | RegisteredServicesCache |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-11934 | A-73173201 QC-CR#2237661 |
Н/Д | Средний | Хост WLAN |
| CVE-2019-2247 | A-122475456 QC-CR#2328472 |
Н/Д | Средний | Ядро |
| CVE-2019-2297 | A-117937358 QC-CR#2205722 |
Н/Д | Средний | Хост WLAN |
| CVE-2019-10563 | A-136501612 QC-CR#2213655 |
Н/Д | Средний | Хост WLAN |
| CVE-2019-10566 | A-112432329 QC-CR#2312995 |
Н/Д | Средний | Хост WLAN |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Google. Они не связаны с уязвимостями в защите. В таблице ниже приведены ссылки, категории и описания улучшений, а также сведения об устройствах, для которых предназначены исправления.
| Ссылки | Категория | Описание | Устройства |
|---|---|---|---|
| A-138482990 | Подключение | Повышена стабильность работы Wi-Fi | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-139096431 | Pixel Stand | Исправлены проблемы с уведомлениями в режиме Pixel Stand | Pixel 3, Pixel 3 XL |
| A-140632869 | Датчики | Улучшена калибровка датчиков | Pixel 3, Pixel 3 XL |
| A-140111727 | Система | Повышена стабильность работы | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-138323667 | Пользовательский интерфейс | Устранена утечка памяти | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-138775282 | Пользовательский интерфейс | Устранены проблемы с предупреждениями | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-138881088 | Пользовательский интерфейс | Улучшена навигация с помощью жестов | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-140197723 | Пользовательский интерфейс | Исключен переход к циклу перезагрузки для отдельных языков | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2019-10-05 и более поздних устранены все проблемы, соответствующие исправлению системы безопасности 2019-10-05 и всем предыдущим исправлениям. Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в этой статье.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода (Remote code execution) |
| EoP | Повышение привилегий (Elevation of privilege) |
| ID | Раскрытие информации (Information disclosure) |
| DoS | Отказ в обслуживании (Denial of service) |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android описаны уязвимости, устранить которые необходимо для соответствия последнему уровню исправления Android. Дополнительные проблемы (например, описанные в этом бюллетене) необязательно устранять для достижения уровня исправления.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 7 октября 2019 г. | Бюллетень опубликован. |
| 1.1 | 29 июня 2020 г. | Изменена таблица с идентификаторами CVE. |