تم النشر في 06 يونيو 2016 | تم التحديث في 08 حزيران 2016
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال تحديث عن بعد (OTA). تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 01 يونيو 2016 أو ما بعده تعالج هذه المشكلات. راجع وثائق Nexus لمعرفة كيفية التحقق من مستوى تصحيح الأمان.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 2 مايو 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP).
المشكلة الأكثر خطورة هي الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم عمليات التخفيف من خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
عمليات التخفيف من خدمة Android و Google
هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي للأمان في Android وإجراءات حماية الخدمة ، مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
نود أن نشكر هؤلاء الباحثين على مساهماتهم:
- Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-2468
- Gal Beniamini ( laginimaineb ): CVE-2016-2476
- Gengjia Chen ( @ chengjia4574 ) ، pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-2492
- Hao Chen و Guang Gong و Wenlin Yang من Mobile Safe Team ، Qihoo 360 Technology Co. Ltd: CVE-2016-2470، CVE-2016-2471، CVE-2016-2472، CVE-2016-2473، CVE-2016- 2498
- Iwo Banas : CVE-2016-2496
- Jianqiang Zhao ( jianqiangzhao ) و pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-2490، CVE-2016-2491
- Lee Campbell من Google: CVE-2016-2500
- Maciej Szawłowski من فريق أمان Google: CVE-2016-2474
- Marco Nelissen و Max Spector من Google: CVE-2016-2487
- وضع علامة على العلامة التجارية لـ Google Project Zero: CVE-2016-2494
- Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-2477، CVE-2016-2478، CVE-2016-2479، CVE-2016-2480، CVE-2016-2481 ، CVE-2016-2482، CVE-2016-2483، CVE-2016-2484، CVE-2016-2485، CVE-2016-2486
- سكوت باور ( @ ScottyBauer1 ): CVE-2016-2066، CVE-2016-2061، CVE-2016-2465، CVE-2016-2469، CVE-2016-2489
- فاسيلي فاسيليف: CVE-2016-2463
- Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2016-2495
- Xiling Gong من Tencent Security Platform Department: CVE-2016-2499
- Zach Riggle ( @ ebeip90 ) من فريق أمان Android: CVE-2016-2493
تفاصيل الثغرات الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح 2016-06-01. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، وخطأ Android المرتبط ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط تغيير AOSP الذي عالج المشكلة بمعرف الخطأ. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع AOSP الإضافية بأرقام تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو ، فضلاً عن الوصول إلى الامتيازات التي لا تستطيع تطبيقات الجهات الخارجية الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل ، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | حرج | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 25 مارس 2016 |
ثغرات أمنية في تنفيذ التعليمات البرمجية عن بُعد في libwebm
قد تؤدي الثغرات الأمنية في تنفيذ التعليمات البرمجية عن بُعد باستخدام libwebm إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو ، فضلاً عن الوصول إلى الامتيازات التي لا تستطيع تطبيقات الجهات الخارجية الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل ، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | حرج | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
رفع مستوى ضعف الامتياز في برنامج تشغيل الفيديو Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865 * | حرج | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P | 21 فبراير 2016 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع مستوى ضعف الامتياز في برنامج تشغيل الصوت Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307 * | حرج | نيكزس 6 | 27 فبراير 2016 |
| CVE-2016-2467 | 28029010 * | حرج | نيكزس 5 | 13 مارس 2014 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm GPU
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454 * | حرج | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 | 2 مارس 2016 |
| CVE-2016-2062 | 27364029 * | حرج | Nexus 5X و Nexus 6P | 6 مارس 2016 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm Wi-Fi
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603 * | حرج | جهاز Nexus 5X | جوجل الداخلية |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ثغرة أمنية في الامتياز في برنامج تشغيل شبكة Wi-Fi من Broadcom
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من استدعاء مكالمات النظام وتغيير إعدادات الجهاز وسلوكه دون امتيازات للقيام بذلك. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765 * | عالٍ | Nexus 5 و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Nexus Player و Pixel C | 6 من كانون الثاني 2016 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع مستوى ضعف الامتياز في برنامج تشغيل الصوت Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409 * | عالٍ | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P | 29 يناير 2016 |
| CVE-2016-2469 | 27531992 * | عالٍ | Nexus 5 و Nexus 6 و Nexus 6P | 4 مارس 2016 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع مستوى ضعف الامتياز في Mediaserver
يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 11 فبراير 2016 |
| CVE-2016-2477 | 27251096 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 17 فبراير 2016 |
| CVE-2016-2478 | 27475409 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 3 مارس 2016 |
| CVE-2016-2479 | 27532282 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 6 مارس 2016 |
| CVE-2016-2480 | 27532721 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 6 مارس 2016 |
| CVE-2016-2481 | 27532497 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 6 مارس 2016 |
| CVE-2016-2482 | 27661749 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 14 مارس 2016 |
| CVE-2016-2483 | 27662502 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 14 مارس 2016 |
| CVE-2016-2484 | 27793163 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 22 مارس 2016 |
| CVE-2016-2485 | 27793367 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 22 مارس 2016 |
| CVE-2016-2486 | 27793371 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 22 مارس 2016 |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
رفع مستوى ضعف الامتياز في برنامج تشغيل كاميرا Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747 * | عالٍ | Nexus 5X و Nexus 6P | 15 فبراير 2016 |
| CVE-2016-2488 | 27600832 * | عالٍ | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) | جوجل الداخلية |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع مستوى ضعف الامتياز في برنامج تشغيل الفيديو Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629 * | عالٍ | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P | 21 فبراير 2016 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ثغرة أمنية في برنامج تشغيل الكاميرا NVIDIA
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة للاتصال بالسائق.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373 * | عالٍ | نيكزس 9 | 6 مارس 2016 |
| CVE-2016-2491 | 27556408 * | عالٍ | نيكزس 9 | 8 مارس 2016 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ثغرة أمنية في برنامج تشغيل Qualcomm Wi-Fi
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174 * | عالٍ | Nexus 7 (2013) | 13 مارس 2016 |
| CVE-2016-2471 | 27773913 * | عالٍ | Nexus 7 (2013) | 19 مارس 2016 |
| CVE-2016-2472 | 27776888 * | عالٍ | Nexus 7 (2013) | 20 مارس 2016 |
| CVE-2016-2473 | 27777501 * | عالٍ | Nexus 7 (2013) | 20 مارس 2016 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ثغرة أمنية في برنامج تشغيل إدارة الطاقة MediaTek
يمكن أن يؤدي رفع الامتياز في برنامج تشغيل إدارة الطاقة في MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن الجهاز ورفع مستوى الجذر لاستدعاء السائق.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410 * | عالٍ | Android One | 7 أبريل 2016 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في طبقة محاكاة بطاقة SD
يمكن أن يؤدي ارتفاع ثغرة الامتياز في طبقة محاكاة مساحة مستخدمي بطاقة SD إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 7 أبريل 2016 |
ارتفاع ثغرة أمنية في الامتياز في برنامج تشغيل شبكة Wi-Fi من Broadcom
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن خدمة للاتصال بالسائق.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522 * | عالٍ | Nexus 5 و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus Player و Pixel C | جوجل الداخلية |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة أمنية لرفض الخدمة عن بُعد في Mediaserver
قد يؤدي رفض الخدمة عن بُعد في ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تعطل الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 6 أبريل 2016 |
رفع مستوى ضعف الامتياز في واجهة المستخدم الإطارية
قد يؤدي رفع ثغرة أمنية في نافذة حوار أذونات Framework UI إلى تمكين المهاجم من الوصول إلى الملفات غير المصرح بها في التخزين الخاص. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للحصول على أذونات " خطيرة " بشكل غير صحيح.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | معتدل | كل Nexus | 6.0 ، 6.1 | 26 مايو 2015 |
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi
قد يؤدي الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162 * | معتدل | Nexus 7 (2013) | 20 مارس 2016 |
* التصحيح لهذه المشكلة ليس في AOSP. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في Mediaserver
قد تسمح ثغرة الكشف عن المعلومات في Mediaserver للتطبيق بالوصول إلى معلومات حساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 24 مارس 2016 |
ثغرة أمنية في الكشف عن المعلومات في مدير النشاط
قد تسمح ثغرة الكشف عن المعلومات في مكون مدير النشاط للتطبيق بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| CVE | أخطاء Android | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | معتدل | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
أسئلة وأجوبة شائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟
تتناول مستويات تصحيح الأمان بتاريخ 1 حزيران (يونيو) 2016 أو لاحقًا هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان). يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]: [2016-06-01]
2. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟
في قسم تفاصيل الثغرات الأمنية ، يحتوي كل جدول على عمود محدث لأجهزة Nexus يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus ، فسيحتوي الجدول على "جميع أجهزة Nexus" في عمود أجهزة Nexus المحدثة . يشمل "All Nexus" الأجهزة المدعومة التالية: Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Android One و Nexus Player و Pixel C.
- بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus ، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدَّثة .
- لا توجد أجهزة Nexus : إذا لم تتأثر أجهزة Nexus بالمشكلة ، فسيكون الجدول "بلا" في عمود أجهزة Nexus المحدَّثة .
التنقيحات
- 06 يونيو 2016: تم نشر النشرة.
- 7 يونيو 2016:
- تمت مراجعة النشرة لتشمل روابط AOSP.
- تمت إزالة CVE-2016-2496 من النشرة.
- 08 حزيران (يونيو) 2016: تمت إضافة CVE-2016-2496 مرة أخرى إلى النشرة.