تاريخ النشر: 6 حزيران (يونيو) 2016 | تاريخ التعديل: 8 حزيران (يونيو) 2016
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. إلى جانب نشرة الأمان، أصدرنا تحديثًا لأمان أجهزة Nexus من خلال تحديث عبر شبكة غير سلكية (OTA). تم أيضًا طرح صور البرامج الثابتة لأجهزة Nexus على موقع Google Developers الإلكتروني. تعالج مستويات تصحيحات الأمان في 1 حزيران (يونيو) 2016 أو الإصدارات الأحدث هذه المشاكل. راجِع مستندات Nexus للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة بتاريخ 2 أيار (مايو) 2016 أو قبل ذلك. تم إصدار تصحيحات رمز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) حيثما كان ذلك منطبقًا.
إنّ المشكلة الأكثر خطورة هي ثغرة أمنية خطيرة يمكن أن تتيح تنفيذ رمز عن بُعد على جهاز متأثر من خلال طُرق متعدّدة، مثل البريد الإلكتروني وتصفّح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يستند تقييم الخطورة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى قسم اجراءات التخفيف في Android وخدمات Google لمعرفة تفاصيل حول الحماية التي يوفّرها نظام Android الأساسي وحماية الخدمات، مثل SafetyNet، التي تحسّن أمان نظام Android الأساسي.
وننصحك بقبول هذه التحديثات على أجهزتك.
إجراءات التخفيف في Android وخدمات Google
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية تعرُّض نظام Android لهجوم ناجح من خلال استغلال الثغرات الأمنية.
- أصبح من الصعب استغلال العديد من المشاكل على Android بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. وننصحك بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط عمليات إساءة الاستخدام باستخدام Verify Apps وSafetyNet، اللذَين تم تصميمهما لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة. تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا على الأجهزة التي تعمل بخدمات Google للأجهزة الجوّالة، وهي مهمة بشكل خاص للمستخدمين الذين يثبتون التطبيقات من خارج Google Play. يُحظر استخدام أدوات الوصول إلى الجذر على Google Play، ولكن تحذّر ميزة "التحقّق من التطبيقات" المستخدمين عند محاولة تثبيت تطبيق تم رصده لاستخدامه هذه الأدوات، بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة "التحقق من التطبيقات" تحديد وتثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الأذونات وحظر تثبيتها. إذا سبق تثبيت تطبيق مماثل، سيُرسِل تطبيق "التحقّق من التطبيقات" إشعارًا إلى المستخدم وسيحاول إزالة التطبيق الذي تم رصده.
- لا تُرسِل تطبيقات Google Hangouts وMessenger تلقائيًا الوسائط إلى عمليات مثل Mediaserver، وذلك حسب الاقتضاء.
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- دي شين (@returnsme) من KeenLab (@keen_lab)، Tencent: CVE-2016-2468
- غال بينياميني (@laginimaineb): CVE-2016-2476
- "جينغجيا تشين" (@chengjia4574)، "بي جي فنغ" (weibo.com/jfpan) من مختبر IceSword، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- هاو تشين وغوانغ غون ووينلين يانغ من فريق Mobile Safe Team في Qihoo 360 Technology Co. Ltd.: CVE-2016-2470 وCVE-2016-2471 وCVE-2016-2472 وCVE-2016-2473 CVE-2016-2498
- Iwo Banas: CVE-2016-2496
- "جيانغيانغ تشاو" (@jianqiangzhao) و"بي جي إف" (weibo.com/jfpan) من مختبر IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-2490 وCVE-2016-2491
- "لي كامبل" من Google: CVE-2016-2500
- "مايك شوالوفسكي" من فريق أمان Google: CVE-2016-2474
- ماركو نيليسينس وماكس سبيكتور من Google: CVE-2016-2487
- Mark Brand من Google Project Zero: CVE-2016-2494
- مينغيان تشو (@Mingjian_Zhou)، تشياتشيه وو (@chiachih_wu)، وشيكسيان جيان من فريق C0RE: CVE-2016-2477 وCVE-2016-2478، CVE-2016-2479 وCVE-2016-2480 وCVE-2016-2481 وCVE-2016-2482 وCVE-2016-2483 وCVE-2016-2484، CVE-2016-2485 وCVE-2016-2486
- سكوت باور (@ScottyBauer1): CVE-2016-2066 وCVE-2016-2061 وCVE-2016-2465 وCVE-2016-2469 وCVE-2016-2489
- فاسيليوس فاسيليف: CVE-2016-2463
- "وي تشاو صن" (@sunblate) من شركة Alibaba Inc.: CVE-2016-2495
- شيلينغ غون من قسم منصّة الأمان في Tencent: CVE-2016-2499
- زاك ريغل (@ebeip90) من فريق أمان Android: CVE-2016-2493
تفاصيل الثغرة الأمنية
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمانi التي تنطبق على مستوى التصحيح في 01-06-2016. يتضمّن السجلّ وصفًا للمشكلة، وسببًا لمستوى الخطورة، وجدولاً يتضمّن معرّف CVE وخلل Android المرتبط به ومستوى الخطورة، وأجهزة Nexus التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. سنربط رقم تعريف الخطأ بتغيير AOSP الذي تم من خلاله حلّ المشكلة، إذا كان ذلك متاحًا. عندما تكون هناك تغييرات متعددة مرتبطة بخطأ واحد، يتم ربط مراجع AOSP إضافية بأرقام تليها معرّف الخطأ.
ثغرة أمنية في Mediaserver تتيح تنفيذ رمز برمجي عن بُعد
يمكن أن تسمح ثغرة أمنية لتنفيذ رموز برمجية عن بُعد في Mediaserver لمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمز عن بُعد في سياق عملية Mediaserver. يمكن لعملية Mediaserver الوصول إلى أحداث البث الصوتي والمرئي، بالإضافة إلى الوصول إلى امتيازات لا يمكن للتطبيقات التابعة لجهات خارجية الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك تطبيقات متعددة تتيح الوصول إليها باستخدام محتوى عن بُعد، وأبرزها رسائل الوسائط المتعددة وتشغيل الوسائط في المتصفّح.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | حرِج | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 25 آذار (مارس) 2016 |
ثغرات تنفيذ الرموز البرمجية عن بُعد في libwebm
يمكن أن تسمح الثغرات الأمنية في libwebm لتنفيذ رموز برمجية عن بُعد للمهاجمين باستخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمز عن بُعد في سياق عملية Mediaserver. يمكن لعملية Mediaserver الوصول إلى أحداث البث الصوتي والمرئي، بالإضافة إلى الوصول إلى امتيازات لا يمكن للتطبيقات التابعة لجهات خارجية الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك تطبيقات متعددة تتيح الوصول إليها باستخدام محتوى عن بُعد، وأبرزها رسائل الوسائط المتعددة وتشغيل الوسائط في المتصفّح.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [2] | حرِج | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | Google داخلي |
ثغرة أمنية في برنامج تشغيل الفيديو من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من Qualcomm إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P | 21 شباط (فبراير) 2016 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | حرِج | Nexus 6 | 27 شباط (فبراير) 2016 |
| CVE-2016-2467 | 28029010* | حرِج | Nexus 5 | 13 آذار (مارس) 2014 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات من Qualcomm إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 | 2 آذار (مارس) 2016 |
| CVE-2016-2062 | 27364029* | حرِج | Nexus 5X وNexus 6P | 6 آذار (مارس) 2016 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا بالوصول إلى ميزات بمستوى امتياز أعلى، ما يتيح له تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | حرِج | Nexus 5X | Google داخلي |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تؤدي إلى تصعيد الأذونات
هناك ثغرة أمنية تؤدي إلى الحصول على أذونات مميزة في برنامج تشغيل Wi-Fi من Broadcom، ما قد يؤدي إلى تفعيل تطبيق ضار على الجهاز لطلب طلبات النظام وتغيير إعدادات الجهاز وسلوكه بدون امتلاك الأذونات اللازمة لإجراء ذلك. تم تصنيف هذه المشكلة على أنّها عالية الخطورة لأنّه يمكن استخدامها للوصول إلى إمكانات مميّزة على الجهاز.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | عالية | Nexus 5 وNexus 6 وNexus 6P وNexus 7 (2013) وNexus 9 وNexus Player وPixel C | 6 كانون الثاني (يناير) 2016 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى منح أحد التطبيقات الضارة إذنًا بالوصول إلى أذونات عالية المستوى، ما يتيح له تنفيذ رمز عشوائي في سياق ملف التمهيد. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P | 29 كانون الثاني (يناير) 2016 |
| CVE-2016-2469 | 27531992* | عالية | Nexus 5 وNexus 6 وNexus 6P | 4 آذار (مارس) 2016 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في Mediaserver تؤدي إلى إساءة استخدام الأذونات المميزة والعالية المستوى
يمكن أن تؤدي ثغرة أمنية في Mediaserver تؤدي إلى الحصول على أذونات مميزة إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق تطبيق نظام لديه أذونات مميزة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن بالوصول إلى إمكانات مميّزة على الجهاز، مثل أذونات Signature أو SignatureOrSystem ، والتي لا يمكن لأحد التطبيقات التابعة لجهات خارجية الوصول إليها.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [2] [3] [4] | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 11 شباط (فبراير) 2016 |
| CVE-2016-2477 | 27251096 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 17 شباط (فبراير) 2016 |
| CVE-2016-2478 | 27475409 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 3 آذار (مارس) 2016 |
| CVE-2016-2479 | 27532282 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 6 آذار (مارس) 2016 |
| CVE-2016-2480 | 27532721 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 6 آذار (مارس) 2016 |
| CVE-2016-2481 | 27532497 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 6 آذار (مارس) 2016 |
| CVE-2016-2482 | 27661749 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 14 آذار (مارس) 2016 |
| CVE-2016-2483 | 27662502 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 14 آذار (مارس) 2016 |
| CVE-2016-2484 | 27793163 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 22 آذار (مارس) 2016 |
| CVE-2016-2485 | 27793367 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 22 آذار (مارس) 2016 |
| CVE-2016-2486 | 27793371 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 22 آذار (مارس) 2016 |
| CVE-2016-2487 | 27833616 [2] [3] | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | Google داخلي |
ثغرة أمنية في برنامج تشغيل كاميرا Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل كاميرا Qualcomm لرفع مستوى الأذونات إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | عالية | Nexus 5X وNexus 6P | 15 شباط (فبراير) 2016 |
| CVE-2016-2488 | 27600832* | عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) | Google داخلي |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل الفيديو من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من Qualcomm إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P | 21 شباط (فبراير) 2016 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل كاميرا NVIDIA تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل كاميرا NVIDIA تؤدي إلى منح امتيازات إضافية إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق خدمة للاتصال بالسائق.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | عالية | Nexus 9 | 6 آذار (مارس) 2016 |
| CVE-2016-2491 | 27556408* | عالية | Nexus 9 | 8 آذار (مارس) 2016 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm إلى منح تطبيق ضار إذنًا بالوصول إلى أذونات عالية المستوى، ما يتيح له تنفيذ رمز عشوائي في سياق ملف التمهيد. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | عالية | Nexus 7 (2013) | 13 آذار (مارس) 2016 |
| CVE-2016-2471 | 27773913* | عالية | Nexus 7 (2013) | 19 آذار (مارس) 2016 |
| CVE-2016-2472 | 27776888* | عالية | Nexus 7 (2013) | 20 آذار (مارس) 2016 |
| CVE-2016-2473 | 27777501* | عالية | Nexus 7 (2013) | 20 آذار (مارس) 2016 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل إدارة الطاقة من MediaTek تؤدي إلى تصعيد الأذونات
يمكن أن يؤدي تصعيد الأذونات في برنامج تشغيل إدارة الطاقة من MediaTek إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق الجهاز ورفع مستوى الإذن إلى "الجذر" لتشغيل برنامج التشغيل.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | عالية | Android One | 7 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية لرفع مستوى الأذونات في طبقة محاكاة بطاقة SD
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في طبقة محاكاة مساحة المستخدم في بطاقة SD إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي في سياق تطبيق نظام مُفوَّض. تم تصنيف هذه المشكلة على أنّها عالية الخطورة لأنّه يمكن استخدامها للوصول إلى إمكانات مميّزة على الجهاز، مثل أذونات Signature أو SignatureOrSystem ، والتي لا يمكن لأحد التطبيقات التابعة لجهة خارجية الوصول إليها.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 7 نيسان (أبريل) 2016 |
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق خدمة للاتصال بالسائق.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | عالية | Nexus 5 وNexus 6 وNexus 6P وNexus 7 (2013) وNexus Player وPixel C | Google داخلي |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في Mediaserver تؤدي إلى حجب الخدمة عن بُعد
يمكن أن تسمح ثغرة رفض الخدمة عن بُعد في Mediaserver لصاخب باستخدام ملف مصمَّم خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض الخدمة عن بُعد.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [2] | عالية | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 6 نيسان (أبريل) 2016 |
ثغرة أمنية في واجهة مستخدم Framework تؤدي إلى إساءة استخدام الأذونات
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في نافذة الحوار الخاصة بأذونات واجهة مستخدم Framework إلى تمكين المهاجم من الوصول إلى ملفات غير مصرّح بها في مساحة التخزين الخاصة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للحصول على أذونات "خطيرة" بشكل غير صحيح.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [2] [3] | متوسط | جميع أجهزة Nexus | 6.0 و6.1 | 26 أيار (مايو) 2015 |
ثغرة أمنية في برنامج تشغيل شبكة Wi-Fi من Qualcomm تؤدي إلى الكشف عن المعلومات
يمكن أن يؤدي تسرُّب المعلومات في برنامج تشغيل Wi-Fi من Qualcomm إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق خدمة يمكنها الاتصال بالسائق.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | متوسط | Nexus 7 (2013) | 20 آذار (مارس) 2016 |
* لا يتوفّر تصحيح لهذه المشكلة في AOSP. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في Mediaserver تؤدي إلى الإفصاح عن المعلومات
يمكن أن تسمح ثغرة أمنية في Mediaserver لتطبيق بالوصول إلى معلومات حسّاسة. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّه يمكن استخدامها للوصول إلى البيانات بدون إذن.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | متوسط | جميع أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 24 آذار (مارس) 2016 |
ثغرة أمنية في "إدارة النشاط" تؤدي إلى الإفصاح عن المعلومات
يمكن أن تؤدي ثغرة أمنية في عنصر "مدير النشاط" إلى السماح لتطبيق بالوصول إلى معلومات حسّاسة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى البيانات بدون إذن.
| CVE | أخطاء Android | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | متوسط | جميع أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 | Google داخلي |
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدّثًا لحلّ هذه المشاكل؟
تعالج مستويات تصحيحات الأمان التي تم إصدارها في 1 حزيران (يونيو) 2016 أو الإصدارات الأحدث هذه المشاكل (يُرجى الرجوع إلى مستندات Nexus للحصول على تعليمات حول كيفية التحقّق من مستوى تصحيح الأمان). على المصنّعين للأجهزة الذين يضيفون هذه التحديثات ضبط مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-06-01]
2. كيف يمكنني تحديد أجهزة Nexus المتأثّرة بكل مشكلة؟
في قسم تفاصيل ثغرة الأمان، يحتوي كل جدول على عمود "أجهزة Nexus التي تم تحديثها" الذي يغطي النطاق لأجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يتضمّن هذا العمود بعض الخيارات:
- جميع أجهزة Nexus: إذا كانت المشكلة تؤثر في جميع أجهزة Nexus، سيظهر في الجدول "جميع أجهزة Nexus" في عمود أجهزة Nexus التي تم تحديثها. تشمل فئة "جميع أجهزة Nexus" الأجهزة المتوافقة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013)، وNexus 9 وAndroid One وNexus Player وPixel C.
- بعض أجهزة Nexus: إذا لم تؤثّر المشكلة في جميع أجهزة Nexus، يتم إدراج أجهزة Nexus المتأثّرة في عمود أجهزة Nexus التي تم تحديثها.
- لا تتوفّر أجهزة Nexus: إذا لم تتأثر أي أجهزة Nexus بالمشكلة، سيظهر في الجدول الخيار "لا تتوفّر" في عمود أجهزة Nexus التي تم تحديثها.
إصدارات
- 6 حزيران (يونيو) 2016: تم نشر النشرة.
- 7 حزيران (يونيو) 2016:
- تم تعديل النشرة لتضمين روابط AOSP.
- تمت إزالة CVE-2016-2496 من النشرة.
- 8 حزيران (يونيو) 2016: تمت إعادة إضافة CVE-2016-2496 إلى النشرة.