2019년 8월 20일 게시됨 | 2021년 1월 27일 업데이트됨
이 Android 보안 출시 노트에는 Android 10에서 해결된 Android 기기 보안 취약점에 관한 자세한 내용이 포함되어 있습니다. 2019-09-01 이상 보안 패치 수준을 사용하는 Android 10 기기는 이러한 문제로부터 보호됩니다(AOSP로 출시된 Android 10에는 2019-09-01 보안 패치 수준이 기본적으로 설치되어 있음). 기기의 보안 패치 수준을 확인하는 방법은 Android 버전 확인 및 업데이트 방법을 참조하세요.
Android 파트너에게는 게시 전에 모든 문제 관련 알림이 전달되었습니다. 이러한 문제의 해결을 위한 소스 코드 패치는 Android 10 출시의 일부로 Android 오픈소스 프로젝트(AOSP) 저장소에 배포됩니다.
이번 출시 노트에 포함된 문제 심각도 평가는 개발 목적으로 플랫폼 및 서비스의 취약점 완화 기능을 사용할 수 없거나 우회에 성공한 경우 취약점 악용으로 인해 대상 기기가 받는 영향을 기준으로 합니다.
실제 ��객이 새로 보고된 문제로 인해 피해를 입었다는 신고는 접수되지 않았습니다. Android 플랫폼의 보안을 개선하는 Android 보안 플랫폼 보호 기능 및 Google Play 프로텍트에 관해 자세히 알아보려면 Android 및 Google Play 프로텍트 완화 섹션을 참고하세요.
공지사항
- 이 문서에 설명된 문제는 Android 10에서 해결되었습니다. 다음 정보는 참조 및 투명한 정보 공개를 위해 제공되었습니다.
- Android 생태계를 안전하게 보호하기 위한 노력을 멈추지 않고 있는 보안 연구 커뮤니티의 노고에 진심으로 감사드립니다.
Android 및 Google 서비스 취약점 완화
다음은 Android 보안 플랫폼 및 Google Play 프로텍트와 같은 서비스 보호 기능에서 제공하는 취약점 완화 기능에 관한 요약입니다. 이러한 기능을 통해 Android에서 보안 취약점이 악용될 가능성을 줄일 수 있습니다.
- Android 플랫폼 최신 버전의 향상된 기능으로 Android의 여러 문제를 악용하기가 더욱 어려워졌습니다. 가능하다면 모든 사용자는 최신 버전의 Android로 업데이트하는 것이 좋습니다.
- Android 보안팀에서는 Google Play 프로텍트를 통해 악용사례를 적극적으로 모니터링하고 잠재적으로 위험한 애플리케이션에 관해 사용자에게 경고를 보냅니다. Google Play 프로텍트는 Google 모바일 서비스가 적용된 기기에 기본적으로 사용 설정되어 있으며 Google Play 외부에서 가져온 앱을 설치하는 사용자에게 특히 중요합니다.
Android 10—취약점 세부정보
아래 섹션에서는 Android 10에서 해결된 보안 취약점에 관한 세부정보를 제공합니다. 취약점은 영향을 받는 구성요소 아래에 그룹화되어 있으며 CVE, 관련 참조, 취약점 유형, 심각도와 같은 세부정보가 포함되어 있습니다.
Android 런타임
CVE | 참조 | 유형 | 심각도 |
---|---|---|---|
CVE-2019-9290 | A-113039724 | EoP | 보통 |
CVE-2019-9429 | A-110035108 | EoP | 보통 |
프레임워크
CVE | 참조 | 유형 | 심각도 |
---|---|---|---|
CVE-2019-9262 | A-111792351 | RCE | 보통 |
CVE-2019-9256 | A-111921829 | RCE | 보통 |
CVE-2019-9280 | A-119322269 | EoP | 보통 |
CVE-2019-2216 | A-38390530 | EoP | 보통 |
CVE-2019-2089 | A-116608833 | EoP | 보통 |
CVE-2019-9288 | A-111363077 | EoP | 보통 |
CVE-2019-9384 | A-120568007 | EoP | 보통 |
CVE-2019-9269 | A-36899497 | EoP | 보통 |
CVE-2019-9378 | A-124539196 | EoP | 보통 |
CVE-2019-9380 | A-123700098 | EoP | 보통 |
CVE-2019-9407 | A-112434609 | EoP | 보통 |
CVE-2019-2088 | A-143895055 | ID | 보통 |
CVE-2019-2058 | A-136089102 | ID | 보통 |
CVE-2019-9351 | A-128599864 | ID | 보통 |
CVE-2019-9281 | A-32748076 | ID | 보통 |
CVE-2019-9377 | A-128599663 | ID | 보통 |
CVE-2019-9292 | A-115384617 | ID | 보통 |
CVE-2019-9424 | A-110941092 | ID | 보통 |
CVE-2019-9399 | A-115635664 | ID | 보통 |
CVE-2019-9421 | A-111215250 | ID | 보통 |
CVE-2019-9323 | A-30770233 | ID | 보통 |
CVE-2019-9438 | A-77821568 | ID | 보통 |
CVE-2019-9373 | A-130173029 | DoS | 보통 |
CVE-2019-9372 | A-132782448 | DoS | 보통 |
라이브러리
CVE | 참조 | 유형 | 심각도 |
---|---|---|---|
CVE-2019-9423 | A-110986616 | EoP | 보통 |
CVE-2019-9459 | A-79593569 | EoP | 보통 |
미디어 프레임워크
CVE | 참조 | 유형 | 심각도 |
---|---|---|---|
CVE-2019-9297 | A-112890242 | RCE | 보통 |
CVE-2019-9298 | A-112892194 | RCE | 보통 |
CVE-2019-9299 | A-112663886 | RCE | 보통 |
CVE-2019-9300 | A-112661610 | RCE | 보통 |
CVE-2019-9301 | A-112663384 | RCE | 보통 |
CVE-2019-9302 | A-112661356 | RCE | 보통 |
CVE-2019-9303 | A-112661057 | RCE | 보통 |
CVE-2019-9304 | A-112662270 | RCE | 보통 |
CVE-2019-9305 | A-112661835 | RCE | 보통 |
CVE-2019-9306 | A-112661348 | RCE | 보통 |
CVE-2019-9307 | A-112661893 | RCE | 보통 |
CVE-2019-9308 | A-112661742 | RCE | 보통 |
CVE-2019-9346 | A-128433933 | RCE | 보통 |
CVE-2019-9357 | A-112662995 | RCE | 보통 |
CVE-2019-9382 | A-120874654 | RCE | 보통 |
CVE-2019-9405 | A-112890225 | RCE | 보통 |
CVE-2019-9278 | A-112537774 | RCE | 보통 |
CVE-2020-0086 | A-131859347 | EoP | 보통 |
CVE-2019-9310 | A-112891546 | EoP | 보통 |
CVE-2019-9232 | A-122675483 | ID | 보통 |
CVE-2019-9247 | A-120426166 | ID | 보통 |
CVE-2019-9282 | A-113211371 | ID | 보통 |
CVE-2019-9293 | A-117661116 | ID | 보통 |
CVE-2019-9294 | A-111764444 | ID | 보통 |
CVE-2019-9313 | A-112005441 | ID | 보통 |
CVE-2019-9314 | A-112329563 | ID | 보통 |
CVE-2019-9315 | A-112326216 | ID | 보통 |
CVE-2019-9316 | A-112052432 | ID | 보통 |
CVE-2019-9317 | A-112052258 | ID | 보통 |
CVE-2019-9318 | A-111764725 | ID | 보통 |
CVE-2019-9319 | A-111762100 | ID | 보통 |
CVE-2019-9320 | A-111761624 | ID | 보통 |
CVE-2019-9321 | A-111208713 | ID | 보통 |
CVE-2019-9322 | A-111128067 | ID | 보통 |
CVE-2019-9325 | A-112001302 | ID | 보통 |
CVE-2019-9334 | A-112859934 | ID | 보통 |
CVE-2019-9335 | A-112328051 | ID | 보통 |
CVE-2019-9336 | A-112326322 | ID | 보통 |
CVE-2019-9337 | A-112204376 | ID | 보통 |
CVE-2019-9338 | A-111762686 | ID | 보통 |
CVE-2019-9347 | A-109891727 | ID | 보통 |
CVE-2019-9359 | A-111407302 | ID | 보통 |
CVE-2019-9361 | A-111762807 | ID | 보통 |
CVE-2019-9362 | A-120426980 | ID | 보통 |
CVE-2019-9364 | A-73364631 | ID | 보통 |
CVE-2019-9366 | A-112052062 | ID | 보통 |
CVE-2019-9370 | A-133880046 | ID | 보통 |
CVE-2019-9406 | A-112552517 | ID | 보통 |
CVE-2019-9408 | A-112380157 | ID | 보통 |
CVE-2019-9409 | A-112272091 | ID | 보통 |
CVE-2019-9410 | A-112204443 | ID | 보통 |
CVE-2019-9411 | A-112204845 | ID | 보통 |
CVE-2019-9412 | A-112006096 | ID | 보통 |
CVE-2019-9415 | A-111805098 | ID | 보통 |
CVE-2019-9416 | A-111804142 | ID | 보통 |
CVE-2019-9433 | A-80479354 | ID | 보통 |
CVE-2019-9252 | A-73339042 | ID | 보통 |
CVE-2019-9268 | A-77474014 | DoS | 보통 |
CVE-2020-0088 | A-124389881 | DoS | 보통 |
CVE-2019-9283 | A-112663564 | DoS | 보통 |
CVE-2019-9348 | A-128431761 | DoS | 보통 |
CVE-2019-9349 | A-124330204 | DoS | 보통 |
CVE-2019-9352 | A-124253062 | DoS | 보통 |
CVE-2019-9371 | A-132783254 | DoS | 보통 |
CVE-2019-9379 | A-124329638 | DoS | 보통 |
CVE-2019-9418 | A-111450210 | DoS | 보통 |
CVE-2019-9420 | A-111272481 | DoS | 보통 |
시스템
CVE | 참조 | 유형 | 심각도 |
---|---|---|---|
CVE-2019-9475 | A-9496886 | ID | 높음 |
CVE-2019-9363 | A-123584306 | RCE | 보통 |
CVE-2019-9365 | A-109838537 | RCE | 보통 |
CVE-2018-9425 | A-73884967 | EoP | 보통 |
CVE-2019-9463 | A-113584607 | EoP | 보통 |
CVE-2019-9291 | A-112159179 | EoP | 보통 |
CVE-2019-9386 | A-122361874 | EoP | 보통 |
CVE-2019-9375 | A-129344244 | EoP | 보통 |
CVE-2019-9238 | A-121267042 | EoP | 보통 |
CVE-2019-9257 | A-113572342 | EoP | 보통 |
CVE-2019-9258 | A-113655028 | EoP | 보통 |
CVE-2019-9259 | A-113575306 | EoP | 보통 |
CVE-2019-9263 | A-73136824 | EoP | 보통 |
CVE-2019-9266 | A-119501435 | EoP | 보통 |
CVE-2019-9295 | A-36885811 | EoP | 보통 |
CVE-2019-9309 | A-117985575 | EoP | 보통 |
CVE-2019-9350 | A-129562815 | EoP | 보통 |
CVE-2019-9358 | A-120156401 | EoP | 보통 |
CVE-2018-9489 | A-77286245 | ID | 보통 |
CVE-2019-9473 | A-115363533 | ID | 보통 |
CVE-2019-9474 | A-79996267 | ID | 보통 |
CVE-2019-9440 | A-37637796 | ID | 보통 |
CVE-2019-9277 | A-68016944 | ID | 보통 |
CVE-2019-9233 | A-122529021 | ID | 보통 |
CVE-2019-9234 | A-122465453 | ID | 보통 |
CVE-2019-9235 | A-122323053 | ID | 보통 |
CVE-2019-9236 | A-122322613 | ID | 보통 |
CVE-2019-9237 | A-121325979 | ID | 보통 |
CVE-2019-9239 | A-121263487 | ID | 보통 |
CVE-2019-9240 | A-121150966 | ID | 보통 |
CVE-2019-9241 | A-121036603 | ID | 보통 |
CVE-2019-9242 | A-121035878 | ID | 보통 |
CVE-2019-9243 | A-120905706 | ID | 보통 |
CVE-2019-9244 | A-120865977 | ID | 보통 |
CVE-2019-9246 | A-120428637 | ID | 보통 |
CVE-2019-9249 | A-120255805 | ID | 보통 |
CVE-2019-9250 | A-120276962 | ID | 보통 |
CVE-2019-9251 | A-120274615 | ID | 보통 |
CVE-2019-9253 | A-109769728 | ID | 보통 |
CVE-2019-9260 | A-113495295 | ID | 보통 |
CVE-2019-9265 | A-37994606 | ID | 보통 |
CVE-2019-9272 | A-11596047 | ID | 보통 |
CVE-2019-9284 | A-111850706 | ID | 보통 |
CVE-2019-9287 | A-78287084 | ID | 보통 |
CVE-2019-9289 | A-79883824 | ID | 보통 |
CVE-2018-9581 | A-111698366 | ID | 보통 |
CVE-2019-9296 | A-112162089 | ID | 보통 |
CVE-2019-9312 | A-78288018 | ID | 보통 |
CVE-2019-9326 | A-111215173 | ID | 보통 |
CVE-2019-9328 | A-111895000 | ID | 보통 |
CVE-2019-9329 | A-112917952 | ID | 보통 |
CVE-2019-9332 | A-78286500 | ID | 보통 |
CVE-2019-9333 | A-109753657 | ID | 보통 |
CVE-2019-9344 | A-120845341 | ID | 보통 |
CVE-2019-9353 | A-123024201 | ID | 보통 |
CVE-2019-9354 | A-118148142 | ID | 보통 |
CVE-2019-9355 | A-115903122 | ID | 보통 |
CVE-2019-9356 | A-111699773 | ID | 보통 |
CVE-2019-9360 | A-120610663 | ID | 보통 |
CVE-2019-9368 | A-79883568 | ID | 보통 |
CVE-2019-9369 | A-79995407 | ID | 보통 |
CVE-2019-9381 | A-122677612 | ID | 보통 |
CVE-2019-9383 | A-120843827 | ID | 보통 |
CVE-2019-9387 | A-117569833 | ID | 보통 |
CVE-2019-9388 | A-117567437 | ID | 보통 |
CVE-2019-9403 | A-113512324 | ID | 보통 |
CVE-2019-9414 | A-111893041 | ID | 보통 |
CVE-2019-9427 | A-110166350 | ID | 보통 |
CVE-2019-9431 | A-109755179 | ID | 보통 |
CVE-2019-9432 | A-80546108 | ID | 보통 |
CVE-2019-9434 | A-80432895 | ID | 보통 |
CVE-2019-9435 | A-80146682 | ID | 보통 |
CVE-2019-9330 | A-111214739 | ID | 보통 |
CVE-2019-9331 | A-112272279 | ID | 보통 |
CVE-2019-9341 | A-111214770 | ID | 보통 |
CVE-2019-9342 | A-111214470 | ID | 보통 |
CVE-2019-9343 | A-112050983 | ID | 보통 |
CVE-2019-9367 | A-112106425 | ID | 보통 |
CVE-2019-9413 | A-111935831 | ID | 보통 |
CVE-2019-9417 | A-111450079 | ID | 보통 |
CVE-2019-9419 | A-111407544 | ID | 보통 |
CVE-2019-9422 | A-111214766 | ID | 보통 |
CVE-2020-0236 | A-79703353 | ID | 보통 |
CVE-2019-9279 | A-110476382 | DoS | 보통 |
CVE-2019-9285 | A-111215315 | DoS | 보통 |
CVE-2019-9286 | A-111213909 | DoS | 보통 |
CVE-2019-9311 | A-79431031 | DoS | 보통 |
CVE-2019-9327 | A-112050583 | DoS | 보통 |
CVE-2019-9462 | A-91544774 | DoS | 보통 |
CVE-2019-9389 | A-117567058 | DoS | 보통 |
CVE-2019-9390 | A-117551475 | DoS | 보통 |
CVE-2019-9393 | A-116357965 | DoS | 보통 |
CVE-2019-9394 | A-116351796 | DoS | 보통 |
CVE-2019-9395 | A-116267405 | DoS | 보통 |
CVE-2019-9396 | A-115747155 | DoS | 보통 |
CVE-2019-9397 | A-115747410 | DoS | 보통 |
CVE-2019-9398 | A-115745406 | DoS | 보통 |
CVE-2019-9400 | A-115509589 | DoS | 보통 |
CVE-2019-9401 | A-115375248 | DoS | 보통 |
CVE-2019-9402 | A-115372550 | DoS | 보통 |
CVE-2019-9404 | A-112923309 | DoS | 보통 |
CVE-2019-9425 | A-110846194 | DoS | 보통 |
CVE-2019-9430 | A-109838296 | DoS | 보통 |
Libxaac
Android 9 libxaac 라이브러리는 실험용으로 표시되었으며 2018년 11월 Android 보안 게시판의 일부로 프로덕션 Android 빌드에서 삭제되었습니다. 문제를 연구해 주신 연구원에게 감사드립니다.
이 문제가 파악된 CVE ID는 다음과 같습니다. CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064, CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE-2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019-2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139, CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE-2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019-2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164, CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385, CVE-2019-9391.
일반적인 질문 및 답변
이 섹션에서는 게시판 내용에 관한 일반적인 질문의 답변을 제시합니다.
1. 내 기기가 업데이트되어 이 문제가 해결되었는지 어떻게 알 수 있나요?
기기의 보안 패치 수준을 확인하는 방법은 Android 버전 확인 및 업데이트를 참조하세요.
AOSP에 게시된 Android 10의 기본 보안 패치 수준은 2019-09-01입니다. Android 10을 실행하며 보안 패치 수준이 2019-09-01 이상인 Android 기기의 경우 이 보안 출시 노트에 포함된 모든 문제가 해결됩니다.
2. 유형 열의 항목은 무엇을 의미하나요?
취약점 세부정보 표의 유형 열에 있는 항목은 보안 취약점 분류를 뜻합니다.
약어 | 정의 |
---|---|
RCE | 원격 코드 실행(Remote code execution) |
EoP | 권한 승격(Elevation of privilege) |
ID | 정보 공개(Information disclosure) |
DoS | 서비스 거부(Denial of service) |
N/A | 분류 없음(Classification not available) |
3. 참조 열의 항목은 무엇을 의미하나요?
취약점 세부정보 표의 참조 열에 있는 항목은 참조 값이 속한 조직을 나타내는 접두어를 포함할 수 있습니다.
접두어 | 참조 |
---|---|
A- | Android 버그 ID |
버전
버전 | 날짜 | 참고 |
---|---|---|
1.0 | 2019년 8월 20일 | 보안 출시 노트가 게시됨 |
1.1 | 2019년 8월 21일 | 취약성 표가 약간 조정됨 |
1.2 | 2019년 9월 17일 | 감사의 말씀 및 문제 목록이 업데이트됨 |
1.3 | 2019년 11월 21일 | 문제 목록이 업데이트됨 |
1.4 | 2020년 2월 12일 | 문제 목록이 업데이트됨 |
1.5 | 2020년 2월 26일 | 문제 목록이 업데이트됨 |
1.6 | 2020년 5월 11일 | 문제 목록이 업데이트됨 |
1.7 | 2020년 6월 11일 | 문제 목록이 업데이트됨 |
1.8 | 2021년 1월 27일 | 문제 목록이 업데이트됨 |