تم النشر في 06 يونيو 2016 | تم التحديث في 08 يونيو 2016
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لـ Nexus على موقع Google Developer . تعالج مستويات التصحيح الأمني بتاريخ 01 يونيو 2016 أو ما بعده هذه المشكلات. راجع وثائق Nexus لمعرفة كيفية التحقق من مستوى تصحيح الأمان.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 02 مايو 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP).
المشكلة الأكثر خطورة هي وجود ثغرة أمنية خطيرة يمكن أن تتيح تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم عمليات تخفيف آثار خدمات Android وGoogle للحصول على تفاصيل حول عمليات حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet، التي تعمل على تحسين أمان نظام Android الأساسي.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
عمليات التخفيف من خدمات Android وGoogle
هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة، مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو أمر مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
ونود أن نشكر هؤلاء الباحثين على مساهماتهم:
- دي شين ( @returnsme ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-2468
- جال بنياميني ( @laginimaineb ): CVE-2016-2476
- Gengjia Chen ( @chengjia4574 )، pjf ( weibo.com/jfpan ) من IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Hao Chen وGuang Gong وWenlin Yang من Mobile Safe Team، Qihoo 360 Technology Co. Ltd.: CVE-2016-2470، CVE-2016-2471، CVE-2016-2472، CVE-2016-2473، CVE-2016- 2498
- ايو باناس : CVE-2016-2496
- Jianqiang Zhao ( @jianqiangzhao ) وpjf ( weibo.com/jfpan ) من IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-2490، CVE-2016-2491
- لي كامبل من جوجل: CVE-2016-2500
- Maciej Szawłowski من فريق Google Security: CVE-2016-2474
- ماركو نيليسن وماكس سبيكتور من Google: CVE-2016-2487
- العلامة التجارية لـ Google Project Zero: CVE-2016-2494
- Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-2477، CVE-2016-2478، CVE-2016-2479، CVE-2016-2480، CVE-2016-2481 ، CVE-2016-2482، CVE-2016-2483، CVE-2016-2484، CVE-2016-2485، CVE-2016-2486
- سكوت باور ( @ScottyBauer1 ): CVE-2016-2066، CVE-2016-2061، CVE-2016-2465، CVE-2016-2469، CVE-2016-2489
- فاسيلي فاسيليف: CVE-2016-2463
- Weichao Sun ( @sunblate ) من شركة Alibaba Inc.: CVE-2016-2495
- Xiling Gong من قسم Tencent Security Platform: CVE-2016-2499
- زاك ريجل ( @ebeip90 ) من فريق أمان Android: CVE-2016-2493
تفاصيل الثغرة الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-06-2016. يوجد وصف للمشكلة، وأساس منطقي لخطورتها، وجدول يتضمن CVE، وأخطاء Android المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط تغيير AOSP الذي عالج المشكلة بمعرف الخطأ. عندما تتعلق تغييرات متعددة بخطأ واحد، يتم ربط مراجع AOSP الإضافية بالأرقام التي تتبع معرف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-2463 | 27855419 | شديد الأهمية | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 25 مارس 2016 |
ثغرات أمنية في تنفيذ التعليمات البرمجية عن بعد في libwebm
يمكن أن تؤدي الثغرات الأمنية الخاصة بتنفيذ التعليمات البرمجية عن بُعد باستخدام libwebm إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملفات الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-2464 | 23167726 [ 2 ] | شديد الأهمية | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | جوجل الداخلية |
رفع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2465 | 27407865* | شديد الأهمية | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P | 21 فبراير 2016 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2466 | 27947307* | شديد الأهمية | نيكزس 6 | 27 فبراير 2016 |
CVE-2016-2467 | 28029010* | شديد الأهمية | نيكزس 5 | 13 مارس 2014 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2468 | 27475454* | شديد الأهمية | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 | 2 مارس 2016 |
CVE-2016-2062 | 27364029* | شديد الأهمية | نيكزس 5X، نيكزس 6P | 6 مارس 2016 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2474 | 27424603* | شديد الأهمية | نيكزس 5X | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi
قد تؤدي زيادة ثغرة الامتيازات في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من استدعاء مكالمات النظام لتغيير إعدادات الجهاز وسلوكه دون امتيازات للقيام بذلك. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المرتفعة.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2475 | 26425765* | عالي | نيكزس 5، نيكزس 6، نيكزس 6 بي، نيكزس 7 (2013)، نيكزس 9، نيكزس بلاير، بكسل سي | 6 يناير 2016 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال بالسائق.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2066 | 26876409* | عالي | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P | 29 يناير 2016 |
CVE-2016-2469 | 27531992* | عالي | نيكزس 5، نيكزس 6، نيكزس 6P | 4 مارس 2016 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في Mediaserver
قد تؤدي زيادة ثغرة الامتياز في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات مرتفعة، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 11 فبراير 2016 |
CVE-2016-2477 | 27251096 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 17 فبراير 2016 |
CVE-2016-2478 | 27475409 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 3 مارس 2016 |
CVE-2016-2479 | 27532282 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 6 مارس 2016 |
CVE-2016-2480 | 27532721 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 6 مارس 2016 |
CVE-2016-2481 | 27532497 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 6 مارس 2016 |
CVE-2016-2482 | 27661749 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 14 مارس 2016 |
CVE-2016-2483 | 27662502 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 14 مارس 2016 |
CVE-2016-2484 | 27793163 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 22 مارس 2016 |
CVE-2016-2485 | 27793367 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 22 مارس 2016 |
CVE-2016-2486 | 27793371 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 22 مارس 2016 |
CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | جوجل الداخلية |
رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال بالسائق.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2061 | 27207747* | عالي | نيكزس 5X، نيكزس 6P | 15 فبراير 2016 |
CVE-2016-2488 | 27600832* | عالي | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 (2013) | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال بالسائق.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2489 | 27407629* | عالي | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P | 21 فبراير 2016 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق الخدمة للاتصال بالسائق.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2490 | 27533373* | عالي | نيكزس 9 | 6 مارس 2016 |
CVE-2016-2491 | 27556408* | عالي | نيكزس 9 | 8 مارس 2016 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال بالسائق.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2470 | 27662174* | عالي | نيكزس 7 (2013) | 13 مارس 2016 |
CVE-2016-2471 | 27773913* | عالي | نيكزس 7 (2013) | 19 مارس 2016 |
CVE-2016-2472 | 27776888* | عالي | نيكزس 7 (2013) | 20 مارس 2016 |
CVE-2016-2473 | 27777501* | عالي | نيكزس 7 (2013) | 20 مارس 2016 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل إدارة الطاقة MediaTek
قد يؤدي رفع الامتياز في برنامج تشغيل إدارة الطاقة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق الجهاز والارتقاء إلى الجذر لاستدعاء برنامج التشغيل.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2492 | 28085410* | عالي | أندرويد وان | 7 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع مستوى ثغرة الامتياز في طبقة محاكاة بطاقة SD
قد تؤدي زيادة ثغرة الامتياز في طبقة مضاهاة مساحة مستخدم بطاقة SD إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات مرتفعة، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-2494 | 28085658 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 7 أبريل 2016 |
رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق الخدمة للاتصال بالسائق.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2493 | 26571522* | عالي | نيكزس 5، نيكزس 6، نيكزس 6 بي، نيكزس 7 (2013)، نيكزس بلاير، بكسل سي | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية لرفض الخدمة عن بعد في Mediaserver
قد تؤدي الثغرة الأمنية لرفض الخدمة عن بعد في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-2495 | 28076789 [ 2 ] | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 6 أبريل 2016 |
رفع ثغرة الامتياز في واجهة مستخدم Framework
قد تؤدي زيادة ثغرة الامتياز في نافذة حوار إذن Framework UI إلى تمكين المهاجم من الوصول إلى الملفات غير المصرح بها في وحدة التخزين الخاصة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للحصول على أذونات " خطيرة " بشكل غير صحيح.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | معتدل | كل نيكزس | 6.0، 6.1 | 26 مايو 2015 |
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi
قد يؤدي الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال ببرنامج التشغيل.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2498 | 27777162* | معتدل | نيكزس 7 (2013) | 20 مارس 2016 |
* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في Mediaserver
يمكن أن تسمح ثغرة الكشف عن المعلومات في Mediaserver لأحد التطبيقات بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-2499 | 27855172 | معتدل | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 24 مارس 2016 |
ثغرة أمنية في الكشف عن المعلومات في مدير النشاط
يمكن أن تسمح ثغرة الكشف عن المعلومات في مكون مدير النشاط للتطبيق بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
مكافحة التطرف العنيف | أخطاء الروبوت | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-2500 | 19285814 | معتدل | كل نيكزس | 5.0.2، 5.1.1، 6.0، 6.0.1 | جوجل الداخلية |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟
تعالج مستويات تصحيح الأمان بتاريخ 01 يونيو 2016 أو الإصدارات الأحدث هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان). يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-06-01]
2. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟
في قسم تفاصيل الثغرات الأمنية ، يحتوي كل جدول على عمود أجهزة Nexus المحدثة الذي يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus، فسيحتوي الجدول على "All Nexus" في عمود أجهزة Nexus المحدثة . يشتمل "All Nexus" على الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) وNexus 9 وAndroid One وNexus Player وPixel C.
- بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدثة .
- لا توجد أجهزة Nexus : إذا لم تتأثر أي أجهزة Nexus بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Nexus المحدثة .
التنقيحات
- 06 يونيو 2016: نشر النشرة.
- 07 يونيو 2016:
- تمت مراجعة النشرة لتشمل روابط AOSP.
- تمت إزالة CVE-2016-2496 من النشرة.
- 08 يونيو 2016: تمت إضافة CVE-2016-2496 مرة أخرى إلى النشرة.