نشرة أمان Android - مايو 2016

تنظيم صفحاتك في مجموعات يمكنك حفظ المحتوى وتصنيفه حسب إعداداتك المفضّلة.

تم النشر في 02 مايو 2016 | تم التحديث في 04 مايو 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال تحديث عن بعد (OTA). تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 01 مايو 2016 أو ما بعده هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان).

تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 4 أبريل 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP).

إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم عمليات التخفيف من خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • لعكس تركيز أوسع ، قمنا بإعادة تسمية هذه النشرة (وكل ما يلي في السلسلة) إلى نشرة أمان Android. تشمل هذه النشرات نطاقًا أوسع من الثغرات الأمنية التي قد تؤثر على أجهزة Android ، حتى لو لم تؤثر على أجهزة Nexus.
  • قمنا بتحديث تقييمات خطورة أمان Android. كانت هذه التغييرات نتيجة للبيانات التي تم جمعها على مدار الأشهر الستة الماضية حول الثغرات الأمنية المبلغ عنها وتهدف إلى مواءمة نقاط الخطورة بشكل أوثق مع تأثير العالم الحقيقي على المستخدمين.

عمليات التخفيف من خدمة Android و Google

هذا ملخص لعوامل التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل خادم الوسائط.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • Abhishek Arya و Oliver Chang و Martin Barbella من فريق Google Chrome Security Team: CVE-2016-2454
  • آندي تايلر ( ticarpi ) من e2e- assure: CVE-2016-2457
  • Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-2441، CVE-2016-2442
  • Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • غال بنيامينى: CVE-2016-2431
  • Hao Chen من فريق Vulpecker Team ، Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Jake Valletta من Mandiant ، شركة FireEye: CVE-2016-2060
  • Jianqiang Zhao ( jianqiangzhao ) و pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd: CVE-2016-2434 ، CVE-2016-2435 ، CVE-2016-2436 ، CVE-2016-2441 ، CVE-2016-2442 ، CVE-2016-2444 ، CVE-2016-2445 ، CVE-2016-2446
  • Imre Rad of Search-Lab Ltd .: CVE-2016-4477
  • Jeremy C. Joslin من Google: CVE-2016-2461
  • Kenny Root of Google: CVE-2016-2462
  • ماركو غراسي ( marcograss ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-2443
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
  • Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-2450، CVE-2016-2448، CVE-2016-2449، CVE-2016-2451، CVE-2016-2452
  • Peter Pi ( heisecode ) من Trend Micro: CVE-2016-2459، CVE-2016-2460
  • Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2016-2428، CVE-2016-2429
  • Yuan-Tsung Lo و Lubo Zhang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-2437
  • Yulong Zhang and Tao (Lenx) Wei of Baidu X-Lab: CVE-2016-2439
  • Zach Riggle ( @ ebeip90 ) من فريق أمان Android: CVE-2016-2430

تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-05-01. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والخلل المرتبط ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط تغيير AOSP الذي عالج المشكلة بمعرف الخطأ. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع AOSP الإضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver

أثناء معالجة ملف الوسائط والبيانات لملف تم إنشاؤه خصيصًا ، قد تسمح الثغرة الأمنية في خادم الوسائط للمهاجم بالتسبب في تلف الذاكرة وتنفيذ التعليمات البرمجية عن بُعد كعملية خادم الوسائط.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.

تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال تنفيذ التعليمات البرمجية عن بُعد في سياق خدمة الخادم الوسيط. تتمتع خدمة mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو ، فضلاً عن الوصول إلى الامتيازات التي لا تستطيع تطبيقات الجهات الخارجية الوصول إليها عادةً.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2428 26751339 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 22 يناير 2016
CVE-2016-2429 27211885 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 16 فبراير 2016

رفع مستوى ضعف الامتياز في مصحح الأخطاء د

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مصحح أخطاء Android المتكامل إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق مصحح أخطاء Android. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE خلل في Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2430 27299236 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 22 فبراير 2016

رفع مستوى ضعف الامتياز في Qualcomm TrustZone

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون Qualcomm TrustZone إلى تمكين تطبيق ضار محلي آمن لتنفيذ تعليمات برمجية عشوائية في سياق TrustZone kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2431 24968809 * حرج Nexus 5 و Nexus 6 و Nexus 7 (2013) و Android One 15 أكتوبر 2015
CVE-2016-2432 25913059 * حرج Nexus 6 و Android One 28 نوفمبر 2015

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال تصعيد الامتياز المحلي والتنفيذ التعسفي للرمز مما يؤدي إلى إمكانية اختراق الجهاز المحلي الدائم ، الأمر الذي قد يتطلب إعادة تحميل ملفات نظام التشغيل لإصلاح الجهاز.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2015-0569 26754117 * حرج Nexus 5X و Nexus 7 (2013) 23 يناير 2016
CVE-2015-0570 26764809 * حرج Nexus 5X و Nexus 7 (2013) 25 يناير 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل الفيديو NVIDIA

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2434 27251090 * حرج نيكزس 9 17 فبراير 2016
CVE-2016-2435 27297988 * حرج نيكزس 9 20 فبراير 2016
CVE-2016-2436 27299111 * حرج نيكزس 9 22 فبراير 2016
CVE-2016-2437 27436822 * حرج نيكزس 9 1 مارس 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في Kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال تصعيد الامتياز المحلي والتنفيذ التعسفي للرمز مما يؤدي إلى إمكانية اختراق الجهاز المحلي الدائم ، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم وصف هذه المشكلة في Android Security Advisory 2016-03-18 .

CVE خلل في Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2015-1805 27275324 * حرج Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 19 فبراير 2016

* التصحيح في AOSP متاح لإصدارات معينة من النواة: 3.14 و 3.10 و 3.4 .

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Kernel

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في النظام الفرعي الصوتي إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. عادةً ما يتم تصنيف خطأ تنفيذ كود kernel مثل هذا على أنه حرج ، ولكن نظرًا لأنه يتطلب أولاً التنازل عن خدمة مميزة من أجل استدعاء النظام الفرعي الصوتي ، فقد تم تصنيفها على أنها عالية الخطورة.

CVE خلل في Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2438 26636060 * عالٍ نيكزس 9 جوجل الداخلية

* التصحيح الخاص بهذه المشكلة متاح في Linux upstream .

ثغرة أمنية في الكشف عن المعلومات في Qualcomm Tethering Controller

قد تسمح ثغرة الكشف عن المعلومات في وحدة تحكم Qualcomm Tethering لتطبيق ضار محلي بالوصول إلى معلومات التعريف الشخصية دون امتيازات للقيام بذلك. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها لاكتساب قدرات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.

CVE خلل في Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2060 27942588 * عالٍ لا أحد 23 مارس 2016

* التصحيح لهذه المشكلة ليس في AOSP. يجب تضمين التحديث في أحدث برامج تشغيل الأجهزة المتأثرة.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Bluetooth

أثناء إقران جهاز Bluetooth ، قد تسمح الثغرة الأمنية في Bluetooth للمهاجم القريب بتنفيذ تعليمات برمجية عشوائية أثناء عملية الاقتران. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد أثناء تهيئة جهاز Bluetooth.

CVE خلل في Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2439 27411268 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 28 فبراير 2016

ارتفاع قابلية تعرض الامتياز في Binder

قد يسمح ارتفاع ثغرة الامتياز في Binder لتطبيق ضار محلي بتنفيذ تعليمات برمجية عشوائية في سياق عملية تطبيق آخر. أثناء تحرير الذاكرة ، قد تسمح الثغرة الأمنية في Binder للمهاجم بالتسبب في تنفيذ التعليمات البرمجية المحلية. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لإمكانية تنفيذ التعليمات البرمجية المحلية أثناء عملية الذاكرة الخالية في Binder.

CVE خلل في Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2440 27252896 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 18 فبراير 2016

رفع مستوى ضعف الامتياز في برنامج تشغيل Qualcomm Buspm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm buspm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. عادةً ما يتم تصنيف خطأ في تنفيذ كود kernel مثل هذا على أنه حرج ، ولكن نظرًا لأنه يتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق ، يتم تصنيفها على أنها عالية الخطورة.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2441 26354602 * عالٍ Nexus 5X و Nexus 6 و Nexus 6P 30 ديسمبر 2015
CVE-2016-2442 26494907 * عالٍ Nexus 5X و Nexus 6 و Nexus 6P 30 ديسمبر 2015

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm MDP

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm MDP إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. عادةً ما يتم تصنيف خطأ في تنفيذ كود kernel مثل هذا على أنه حرج ، ولكن نظرًا لأنه يتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق ، يتم تصنيفها على أنها عالية الخطورة.

CVE خلل في Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2443 26404525 * عالٍ Nexus 5 و Nexus 7 (2013) 5 يناير 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من استدعاء مكالمات النظام وتغيير إعدادات الجهاز وسلوكه دون امتيازات للقيام بذلك. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.

CVE خلل في Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2015-0571 26763920 * عالٍ Nexus 5X و Nexus 7 (2013) 25 يناير 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل الفيديو NVIDIA

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل وسائط NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. عادةً ما يتم تصنيف خطأ في تنفيذ كود kernel مثل هذا على أنه حرج ، ولكن نظرًا لأنه يتطلب أولاً التنازل عن خدمة امتياز عالية للاتصال بالسائق ، يتم تصنيفها على أنها عالية الخطورة.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2444 27208332 * عالٍ نيكزس 9 16 فبراير 2016
CVE-2016-2445 27253079 * عالٍ نيكزس 9 17 فبراير 2016
CVE-2016-2446 27441354 * عالٍ نيكزس 9 1 مارس 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في شبكة Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها أيضًا لاكتساب قدرات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيقات الجهات الخارجية.

ملاحظة : تم تحديث رقم CVE ، وفقًا لطلب MITER ، من CVE-2016-2447 إلى CVE-2016-4477.

CVE خلل في Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-4477 27371366 [ 2 ] عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 24 فبراير 2016

رفع مستوى ضعف الامتياز في Mediaserver

يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في خادم الوسائط إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها لاكتساب قدرات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2448 27533704 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 7 مارس 2016
CVE-2016-2449 27568958 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 9 مارس 2016
CVE-2016-2450 27569635 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 9 مارس 2016
CVE-2016-2451 27597103 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 10 من آذار 2016
CVE-2016-2452 27662364 [ 2 ] [ 3 ] عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 14 مارس 2016

ارتفاع ثغرة أمنية في برنامج MediaTek Wi-Fi Driver

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. عادةً ما يتم تصنيف خطأ في تنفيذ كود kernel مثل هذا على أنه حرج ، ولكن نظرًا لأنه يتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق ، يتم تصنيفها على أنها عالية الخطورة.

CVE خلل في Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2453 27549705 * عالٍ Android One 8 مارس 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ثغرة أمنية في رفض الخدمة عن بُعد في برنامج ترميز أجهزة Qualcomm

أثناء معالجة ملف الوسائط والبيانات لملف تم إنشاؤه خصيصًا ، قد يسمح رفض الخدمة عن بُعد في برنامج ترميز فيديو أجهزة Qualcomm للمهاجم عن بُعد بحظر الوصول إلى جهاز متأثر عن طريق التسبب في إعادة تشغيل الجهاز. تم تصنيف هذا على أنه شديد الخطورة نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE خلل في Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2454 26221024 * عالٍ نيكزس 5 16 ديسمبر 2015

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع نقاط ضعف الامتياز في Conscrypt

يمكن أن يسمح ارتفاع ثغرة الامتياز في Conscrypt لتطبيق محلي بالاعتقاد بأنه تمت مصادقة رسالة ما عندما لم تكن كذلك. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنها تتطلب خطوات منسقة عبر أجهزة متعددة.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2461 27324690 [ 2 ] معتدل كل Nexus 6.0 ، 6.0.1 جوجل الداخلية
CVE-2016-2462 27371173 معتدل كل Nexus 6.0 ، 6.0.1 جوجل الداخلية

رفع مستوى ضعف الامتياز في OpenSSL & BoringSSL

يمكن أن يؤدي ارتفاع ثغرة الامتياز في OpenSSL و BoringSSL إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. عادةً ما يتم تصنيف هذا على أنه مرتفع ، ولكن نظرًا لأنه يتطلب تكوينًا يدويًا غير مألوف ، يتم تصنيفه على أنه متوسط ​​الخطورة.

CVE خلل في Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE -2017705 27449871 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 7 فبراير 2016

ارتفاع ثغرة أمنية في برنامج MediaTek Wi-Fi Driver

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من التسبب في رفض الخدمة. عادةً ما يتم تصنيف ارتفاع خطأ الامتياز مثل هذا على أنه مرتفع ، ولكن نظرًا لأنه يتطلب تسوية خدمة النظام أولاً ، يتم تصنيفها على أنها متوسطة الخطورة.

CVE خلل في Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2456 27275187 * معتدل Android One 19 فبراير 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في شبكة Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في شبكة Wi-Fi إلى تمكين حساب الضيف من تعديل إعدادات Wi-Fi التي تستمر للمستخدم الأساسي. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنها تتيح الوصول المحلي إلى الإمكانات " الخطيرة " بدون إذن.

CVE خلل في Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2457 27411179 معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 29 فبراير 2016

ثغرة أمنية في الكشف عن المعلومات في بريد AOSP

قد تؤدي ثغرة الكشف عن المعلومات في بريد AOSP إلى تمكين تطبيق ضار محلي من الوصول إلى معلومات المستخدم الخاصة. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للوصول إلى البيانات بشكل غير صحيح دون إذن.

CVE خلل في Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2458 27335139 [ 2 ] معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 23 فبراير 2016

ثغرة أمنية في الكشف عن المعلومات في Mediaserver

قد تسمح ثغرة الكشف عن المعلومات في Mediaserver للتطبيق بالوصول إلى معلومات حساسة. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للوصول إلى البيانات بشكل غير صحيح دون إذن.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2459 27556038 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 7 مارس 2016
CVE-2016-2460 27555981 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 7 مارس 2016

رفض الخدمة في Kernel

قد يؤدي رفض الخدمة في النواة إلى السماح لتطبيق ضار محلي بالتسبب في إعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنها منخفضة الخطورة لأن التأثير هو رفض مؤقت للخدمة.

CVE خلل في Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE -2017974 27721803 * قليل كل Nexus 17 من آذار 2016

* التصحيح الخاص بهذه المشكلة متاح في Linux upstream .

أسئلة وأجوبة شائعة

يستعرض هذا القسم الإجابات على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟

تتناول مستويات تصحيح الأمان بتاريخ 01 مايو 2016 أو ما بعده هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان). يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]: [2016-05-01]

2. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟

في قسم تفاصيل الثغرات الأمنية ، يحتوي كل جدول على عمود محدث لأجهزة Nexus يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus ، فسيحتوي الجدول على جميع أجهزة Nexus في عمود أجهزة Nexus المحدثة . تحتوي جميع أجهزة Nexus على الأجهزة المدعومة التالية: Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Android One و Nexus Player و Pixel C.
  • بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus ، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدَّثة .
  • لا توجد أجهزة Nexus : إذا لم تتأثر أجهزة Nexus بالمشكلة ، فسيكون الجدول "بلا" في عمود أجهزة Nexus المحدَّثة .

3. لماذا تم تضمين CVE-2015-1805 في هذه النشرة؟

تم تضمين CVE-2015-1805 في هذه النشرة لأن Android Security Advisory— 2016-03-18 تم نشره في وقت قريب جدًا من إصدار نشرة أبريل. نظرًا للجدول الزمني الضيق ، تم منح الشركات المصنعة للأجهزة خيار شحن الإصلاحات من Nexus Security Bulletin - أبريل 2016 ، بدون إصلاح CVE-2015-1805 ، إذا استخدموا مستوى تصحيح الأمان في 01 أبريل 2016. تم تضمينه مرة أخرى في هذه النشرة حيث يجب إصلاحه لاستخدام مستوى تصحيح الأمان في 01 مايو 2016.

التنقيحات

  • 02 مايو 2016: تم نشر النشرة.
  • 4 مايو 2016:
    • تمت مراجعة النشرة لتشمل روابط AOSP.
    • قائمة بجميع أجهزة Nexus التي تم تحديثها لتشمل Nexus Player و Pixel C.
    • تم تحديث CVE-2016-2447 إلى CVE-2016-4477 ، لكل طلب MITER.