نشرة أمان Android - يونيو 2016

تم النشر في 06 يونيو 2016 | تم التحديث في 08 حزيران 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال تحديث عن بعد (OTA). تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 01 يونيو 2016 أو ما بعده تعالج هذه المشكلات. راجع وثائق Nexus لمعرفة كيفية التحقق من مستوى تصحيح الأمان.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 2 مايو 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP).

المشكلة الأكثر خطورة هي الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم عمليات التخفيف من خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

عمليات التخفيف من خدمة Android و Google

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي للأمان في Android وإجراءات حماية الخدمة ، مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-2468
  • Gal Beniamini ( laginimaineb ): CVE-2016-2476
  • Gengjia Chen ( @ chengjia4574 ) ، pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-2492
  • Hao Chen و Guang Gong و Wenlin Yang من Mobile Safe Team ، Qihoo 360 Technology Co. Ltd: CVE-2016-2470، CVE-2016-2471، CVE-2016-2472، CVE-2016-2473، CVE-2016- 2498
  • Iwo Banas : CVE-2016-2496
  • Jianqiang Zhao ( jianqiangzhao ) و pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-2490، CVE-2016-2491
  • Lee Campbell من Google: CVE-2016-2500
  • Maciej Szawłowski من فريق أمان Google: CVE-2016-2474
  • Marco Nelissen و Max Spector من Google: CVE-2016-2487
  • وضع علامة على العلامة التجارية لـ Google Project Zero: CVE-2016-2494
  • Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-2477، CVE-2016-2478، CVE-2016-2479، CVE-2016-2480، CVE-2016-2481 ، CVE-2016-2482، CVE-2016-2483، CVE-2016-2484، CVE-2016-2485، CVE-2016-2486
  • سكوت باور ( @ ScottyBauer1 ): CVE-2016-2066، CVE-2016-2061، CVE-2016-2465، CVE-2016-2469، CVE-2016-2489
  • فاسيلي فاسيليف: CVE-2016-2463
  • Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2016-2495
  • Xiling Gong من Tencent Security Platform Department: CVE-2016-2499
  • Zach Riggle ( @ ebeip90 ) من فريق أمان Android: CVE-2016-2493

تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح 2016-06-01. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، وخطأ Android المرتبط ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط تغيير AOSP الذي عالج المشكلة بمعرف الخطأ. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع AOSP الإضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو ، فضلاً عن الوصول إلى الامتيازات التي لا تستطيع تطبيقات الجهات الخارجية الوصول إليها عادةً.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل ، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2463 27855419 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 25 مارس 2016

ثغرات أمنية في تنفيذ التعليمات البرمجية عن بُعد في libwebm

قد تؤدي الثغرات الأمنية في تنفيذ التعليمات البرمجية عن بُعد باستخدام libwebm إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو ، فضلاً عن الوصول إلى الامتيازات التي لا تستطيع تطبيقات الجهات الخارجية الوصول إليها عادةً.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل ، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2464 23167726 [ 2 ] حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

رفع مستوى ضعف الامتياز في برنامج تشغيل الفيديو Qualcomm

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2465 27407865 * حرج Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P 21 فبراير 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في برنامج تشغيل الصوت Qualcomm

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2466 27947307 * حرج نيكزس 6 27 فبراير 2016
CVE-2016-2467 28029010 * حرج نيكزس 5 13 مارس 2014

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm GPU

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2468 27475454 * حرج Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 2 مارس 2016
CVE-2016-2062 27364029 * حرج Nexus 5X و Nexus 6P 6 مارس 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2474 27424603 * حرج جهاز Nexus 5X جوجل الداخلية

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في الامتياز في برنامج تشغيل شبكة Wi-Fi من Broadcom

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من استدعاء مكالمات النظام وتغيير إعدادات الجهاز وسلوكه دون امتيازات للقيام بذلك. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2475 26425765 * عالٍ Nexus 5 و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Nexus Player و Pixel C 6 من كانون الثاني 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في برنامج تشغيل الصوت Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2066 26876409 * عالٍ Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P 29 يناير 2016
CVE-2016-2469 27531992 * عالٍ Nexus 5 و Nexus 6 و Nexus 6P 4 مارس 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في Mediaserver

يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 11 فبراير 2016
CVE-2016-2477 27251096 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 17 فبراير 2016
CVE-2016-2478 27475409 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 3 مارس 2016
CVE-2016-2479 27532282 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 6 مارس 2016
CVE-2016-2480 27532721 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 6 مارس 2016
CVE-2016-2481 27532497 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 6 مارس 2016
CVE-2016-2482 27661749 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 14 مارس 2016
CVE-2016-2483 27662502 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 14 مارس 2016
CVE-2016-2484 27793163 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 22 مارس 2016
CVE-2016-2485 27793367 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 22 مارس 2016
CVE-2016-2486 27793371 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 22 مارس 2016
CVE-2016-2487 27833616 [ 2 ] [ 3 ] عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

رفع مستوى ضعف الامتياز في برنامج تشغيل كاميرا Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2061 27207747 * عالٍ Nexus 5X و Nexus 6P 15 فبراير 2016
CVE-2016-2488 27600832 * عالٍ Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) جوجل الداخلية

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في برنامج تشغيل الفيديو Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2489 27407629 * عالٍ Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P 21 فبراير 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل الكاميرا NVIDIA

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة للاتصال بالسائق.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2490 27533373 * عالٍ نيكزس 9 6 مارس 2016
CVE-2016-2491 27556408 * عالٍ نيكزس 9 8 مارس 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2470 27662174 * عالٍ Nexus 7 (2013) 13 مارس 2016
CVE-2016-2471 27773913 * عالٍ Nexus 7 (2013) 19 مارس 2016
CVE-2016-2472 27776888 * عالٍ Nexus 7 (2013) 20 مارس 2016
CVE-2016-2473 27777501 * عالٍ Nexus 7 (2013) 20 مارس 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في برنامج تشغيل إدارة الطاقة MediaTek

يمكن أن يؤدي رفع الامتياز في برنامج تشغيل إدارة الطاقة في MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن الجهاز ورفع مستوى الجذر لاستدعاء السائق.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2492 28085410 * عالٍ Android One 7 أبريل 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في طبقة محاكاة بطاقة SD

يمكن أن يؤدي ارتفاع ثغرة الامتياز في طبقة محاكاة مساحة مستخدمي بطاقة SD إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2494 28085658 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 7 أبريل 2016

ارتفاع ثغرة أمنية في الامتياز في برنامج تشغيل شبكة Wi-Fi من Broadcom

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة للاتصال بالسائق.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2493 26571522 * عالٍ Nexus 5 و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus Player و Pixel C جوجل الداخلية

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ثغرة أمنية لرفض الخدمة عن بُعد في Mediaserver

قد يؤدي رفض الخدمة عن بُعد في ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تعطل الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2495 28076789 [ 2 ] عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 6 أبريل 2016

رفع مستوى ضعف الامتياز في واجهة المستخدم الإطارية

قد يؤدي رفع ثغرة أمنية في نافذة حوار أذونات Framework UI إلى تمكين المهاجم من الوصول إلى الملفات غير المصرح بها في التخزين الخاص. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للحصول على أذونات " خطيرة " بشكل غير صحيح.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2496 26677796 [ 2 ] [ 3 ] معتدل كل Nexus 6.0 ، 6.1 26 مايو 2015

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2498 27777162 * معتدل Nexus 7 (2013) 20 مارس 2016

* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في Mediaserver

قد تسمح ثغرة الكشف عن المعلومات في Mediaserver للتطبيق بالوصول إلى معلومات حساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2499 27855172 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 24 مارس 2016

ثغرة أمنية في الكشف عن المعلومات في مدير النشاط

قد تسمح ثغرة الكشف عن المعلومات في مكون مدير النشاط للتطبيق بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

CVE أخطاء Android خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2500 19285814 معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

أسئلة وأجوبة شائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟

تتناول مستويات تصحيح الأمان بتاريخ 1 حزيران (يونيو) 2016 أو لاحقًا هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان). يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]: [2016-06-01]

2. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟

في قسم تفاصيل الثغرات الأمنية ، يحتوي كل جدول على عمود محدث لأجهزة Nexus يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus ، فسيحتوي الجدول على "جميع أجهزة Nexus" في عمود أجهزة Nexus المحدثة . يشمل "All Nexus" الأجهزة المدعومة التالية: Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Android One و Nexus Player و Pixel C.
  • بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus ، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدَّثة .
  • لا توجد أجهزة Nexus : إذا لم تتأثر أجهزة Nexus بالمشكلة ، فسيكون الجدول "بلا" في عمود أجهزة Nexus المحدَّثة .

التنقيحات

  • 06 يونيو 2016: تم نشر النشرة.
  • 7 يونيو 2016:
    • تمت مراجعة النشرة لتشمل روابط AOSP.
    • تمت إزالة CVE-2016-2496 من النشرة.
  • 08 حزيران (يونيو) 2016: تمت إضافة CVE-2016-2496 مرة أخرى إلى النشرة.