تم النشر في 06 يوليو 2016 | تم التحديث في 1 أبريل 2019
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال تحديث عن بعد (OTA). تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 يوليو 2016 أو ما بعده جميع المشكلات السارية في هذه النشرة. راجع الوثائق لمعرفة كيفية التحقق من مستوى تصحيح الأمان.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 06 يونيو 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.
إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- تحدد هذه النشرة سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 2016-07-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-07-01.
- 2016-07-05 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-07-01 و 2016-07-05.
- ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر OTA بمستوى تصحيح الأمان في 05 تموز (يوليو) 2016.
عمليات التخفيف من خدمة Android و Google
هذا ملخص لعوامل التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
نود أن نشكر هؤلاء الباحثين على مساهماتهم:
- Abhishek Arya و Oliver Chang و Martin Barbella من فريق Google Chrome Security Team: CVE-2016-3756، CVE-2016-3741، CVE-2016-3743، CVE-2016-3742
- آدم دوننفيلد وآخرون. of Check Point Software Technologies Ltd: CVE-2016-2503
- Adam Powell من Google: CVE-2016-3752
- أليكس تشابمان وبول ستون من أمن معلومات السياق: CVE-2016-3763
- آندي تايلر ( ticarpi ) من e2e- assure: CVE-2016-2457
- بن هوكس من Google Project Zero: CVE-2016-3775
- Chiachih Wu ( chiachih_wu ) ، و Yuan-Tsung Lo ( computernik@gmail.com ) ، و Xuxian Jiang من فريق C0RE : CVE-2016-3770 ، CVE-2016-3771 ، CVE-2016-3772 ، CVE-2016-3773 ، CVE-2016-3774
- كريستوفر تيت من Google: CVE-2016-3759
- Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-3762
- Gengjia Chen ( @ chengjia4574 ) ، pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3806، CVE-2016-3816، CVE-2016-3805، CVE-2016-3804 ، CVE-2016-3767، CVE-2016-3810، CVE-2016-3795، CVE-2016-3796
- جريج كايزر من فريق Google Android: CVE-2016-3758
- Guang Gong (龚 广) ( oldfresher ) من Mobile Safe Team ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
- Hao Chen و Guang Gong من Alpha Team ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3792، CVE-2016-3768
- Hao Qin of Security Research Lab ، Cheetah Mobile : CVE-2016-3754 ، CVE-2016-3766
- Jianqiang Zhao ( jianqiangzhao ) و pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd : CVE-2016-3814 ، CVE-2016-3802 ، CVE-2016-3769 ، CVE-2016-3807 ، CVE-2016-3808
- Marco Nelissen من Google: CVE-2016-3818
- وضع علامة على العلامة التجارية لـ Google Project Zero: CVE-2016-3757
- Michał Bednarski : CVE-2016-3750
- Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-3747، CVE-2016-3746، CVE-2016-3765
- Peng Xiao و Chengming Yang و Ning You و Chao Yang و Yang Ssong من Alibaba Mobile Security Group: CVE-2016-3800، CVE-2016-3799، CVE-2016-3801، CVE-2016-3812، CVE-2016-3798
- Peter Pi ( heisecode ) من Trend Micro: CVE-2016-3793
- Ricky Wai من Google: CVE-2016-3749
- رويلاند كراك: CVE-2016-3753
- سكوت باور ( @ ScottyBauer1 ): CVE-2016-3797 ، CVE-2016-3813 ، CVE-2016-3815 ، CVE-2016-2501 ، CVE-2016-2502
- فاسيلي فاسيليف: CVE-2016-2507
- Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2016-2508، CVE-2016-3755
- Wen Niu ( NWMonster ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-3809
- Xiling Gong من Tencent Security Platform Department: CVE-2016-3745
- Yacong Gu من TCA Lab ، معهد البرمجيات ، الأكاديمية الصينية للعلوم: CVE-2016-3761
- Yongke Wang ( Rudykewang ) من Xuanwu LAB ، Tencent: CVE-2016-2505
- Yongke Wang ( Rudykewang ) و Wei Wei ( Danny__Wei ) من Xuanwu LAB ، تينسنت: CVE-2016-2506
- Yulong Zhang and Tao (Lenx) Wei of Baidu X-Lab: CVE-2016-3744
2016-01-01 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-07-01. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو ، فضلاً عن الوصول إلى الامتيازات التي لا تستطيع تطبيقات الجهات الخارجية الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2506 | أ -28175045 | حرج | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 11 أبريل 2016 |
| CVE-2016-2505 | أ -28333006 | حرج | كل Nexus | 6.0 ، 6.0.1 | 21 أبريل 2016 |
| CVE-2016-2507 | أ -28532266 | حرج | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 2 مايو 2016 |
| CVE-2016-2508 | A-28799341 [ 2 ] | حرج | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 16 مايو 2016 |
| CVE-2016-3741 | A-28165661 [ 2 ] | حرج | كل Nexus | 6.0 ، 6.0.1 | جوجل الداخلية |
| CVE-2016-3742 | A-28165659 | حرج | كل Nexus | 6.0 ، 6.0.1 | جوجل الداخلية |
| CVE-2016-3743 | أ -27907656 | حرج | كل Nexus | 6.0 ، 6.0.1 | جوجل الداخلية |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في OpenSSL & BoringSSL
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في OpenSSL و BoringSSL إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة الملفات والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال تنفيذ التعليمات البرمجية عن بُعد في سياق عملية متأثرة.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2108 | أ -28175332 | حرج | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 3 مايو 2016 |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Bluetooth
قد تسمح الثغرة الأمنية الخاصة بتنفيذ التعليمات البرمجية عن بُعد في Bluetooth للمهاجم القريب بتنفيذ تعليمات برمجية عشوائية أثناء عملية الاقتران. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد أثناء تهيئة جهاز Bluetooth.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 30 مارس 2016 |
رفع مستوى ضعف الامتياز في libpng
قد يؤدي ارتفاع ثغرة الامتياز في libpng إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 3 ديسمبر 2015 |
رفع مستوى ضعف الامتياز في Mediaserver
يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3745 | أ -28173666 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 10 أبريل 2016 |
| CVE-2016-3746 | أ -27890802 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 27 مارس 2016 |
| CVE-2016-3747 | A-27903498 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 28 مارس 2016 |
ارتفاع ضعف الامتياز في المنافذ
يمكن أن يؤدي ارتفاع ثغرة الامتياز في المقابس إلى تمكين تطبيق ضار محلي من الوصول إلى مكالمات النظام خارج مستوى أذوناته. تم تصنيف هذه المشكلة على أنها عالية لأنها قد تسمح بتجاوز الإجراءات الأمنية المطبقة لزيادة صعوبة استغلال المهاجمين للمنصة.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3748 | أ -28171804 | عالٍ | كل Nexus | 6.0 ، 6.0.1 | 13 أبريل 2016 |
رفع مستوى ضعف الامتياز في LockSettingsService
يمكن أن يؤدي ارتفاع ثغرة الامتياز في LockSettingsService إلى تمكين تطبيق ضار من إعادة تعيين كلمة مرور قفل الشاشة دون إذن من المستخدم. تم تصنيف هذه المشكلة على أنها عالية لأنها تجاوز محلي لمتطلبات تفاعل المستخدم لأي مطور أو تعديلات على إعدادات الأمان.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3749 | أ -28163930 | عالٍ | كل Nexus | 6.0 ، 6.0.1 | جوجل الداخلية |
رفع ثغرة أمنية في الامتيازات في واجهات برمجة تطبيقات Framework
يمكن أن يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة تطبيقات Parcels Framework إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3750 | أ -28395952 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 16 ديسمبر 2015 |
زيادة ضعف الامتياز في خدمة ChooserTarget
قد يؤدي ارتفاع ثغرة الامتياز في خدمة ChooserTarget إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية في سياق تطبيق آخر. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى الأنشطة الخاصة بتطبيق آخر دون إذن.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3752 | أ -28384423 | عالٍ | كل Nexus | 6.0 ، 6.0.1 | جوجل الداخلية |
ضعف الكشف عن المعلومات في Mediaserver
قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين المهاجم عن بُعد من الوصول إلى البيانات المحمية التي لا يمكن الوصول إليها عادةً إلا للتطبيقات المثبتة محليًا التي تطلب الإذن. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3753 | أ -27210135 | عالٍ | لا أحد* | 4.4.4 | 15 فبراير 2016 |
* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.
ثغرة الكشف عن المعلومات في OpenSSL
قد تؤدي ثغرة الكشف عن المعلومات في OpenSSL إلى تمكين المهاجم عن بُعد من الوصول إلى البيانات المحمية التي لا يمكن الوصول إليها عادةً إلا للتطبيقات المثبتة محليًا التي تطلب الإذن. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-2107 | أ -28550804 | عالٍ | لا أحد* | 4.4.4 ، 5.0.2 ، 5.1.1 | 13 أبريل 2016 |
* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.
ضعف رفض الخدمة في Mediaserver
قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [ 2 ] | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 5 مايو 2016 |
| CVE-2016-3755 | أ -28470138 | عالٍ | كل Nexus | 6.0 ، 6.0.1 | 29 أبريل 2016 |
| CVE-2016-3756 | أ -28556125 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
ضعف رفض الخدمة في libc
قد يؤدي رفض الخدمة في libc إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [ 2 ] | عالٍ | لا أحد* | 4.4.4 | جوجل الداخلية |
* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.
ارتفاع ضعف الامتياز في lsof
قد يؤدي ارتفاع ثغرة الامتياز في lsof إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية قد تؤدي إلى اختراق دائم للجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب خطوات يدوية غير شائعة.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 11 أبريل 2016 |
ارتفاع ثغرة أمنية في DexClassLoader
قد يؤدي ارتفاع ثغرة الامتياز في DexClassLoader إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب خطوات يدوية غير شائعة.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
رفع ثغرة أمنية في الامتيازات في واجهات برمجة تطبيقات Framework
قد يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة تطبيقات Framework إلى تمكين تطبيق ضار محلي من طلب أذونات النسخ الاحتياطي واعتراض جميع بيانات النسخ الاحتياطي. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أذونات محددة لتجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3759 | أ -28406080 | معتدل | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
ارتفاع ضعف الامتياز في البلوتوث
يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون Bluetooth إلى تمكين مهاجم محلي من إضافة جهاز Bluetooth مصادق عليه يستمر للمستخدم الأساسي. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها لاكتساب قدرات عالية بدون إذن صريح من المستخدم.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [ 2 ] [ 3 ] | معتدل | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 29 فبراير 2016 |
ارتفاع ضعف الامتياز في NFC
قد يؤدي ارتفاع ثغرة الامتياز في NFC إلى تمكين تطبيق الخلفية الضار المحلي من الوصول إلى المعلومات من تطبيق أمامي. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها لاكتساب قدرات عالية بدون إذن صريح من المستخدم.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3761 | أ -28300969 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 20 أبريل 2016 |
ارتفاع ضعف الامتياز في المنافذ
يمكن أن يؤدي ارتفاع ثغرة الامتياز في المآخذ إلى تمكين تطبيق ضار محلي من الوصول إلى أنواع معينة من المقابس غير الشائعة التي قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها قد تسمح بتجاوز الإجراءات الأمنية المطبقة لزيادة صعوبة استغلال المهاجمين للمنصة.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3762 | أ -28612709 | معتدل | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 21 أبريل 2016 |
ثغرة أمنية في الكشف عن المعلومات في التكوين التلقائي للوكيل
قد تسمح ثغرة الكشف عن المعلومات في مكون Proxy Auto-Config لأحد التطبيقات بالوصول إلى معلومات حساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 10 من آذار 2016 |
ضعف الكشف عن المعلومات في Mediaserver
قد تسمح ثغرة الكشف عن المعلومات في Mediaserver لتطبيق ضار محلي بالوصول إلى معلومات حساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3764 | أ -28377502 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 25 أبريل 2016 |
| CVE-2016-3765 | أ -28168413 | معتدل | كل Nexus | 6.0 ، 6.0.1 | 8 أبريل 2016 |
ضعف رفض الخدمة في Mediaserver
قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة عن بُعد.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [ 2 ] | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 29 أبريل 2016 |
2016-07-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-07-05. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
رفع مستوى ضعف الامتياز في برنامج تشغيل Qualcomm GPU
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795 * QC-CR1006067 | حرج | Nexus 5X و Nexus 6P | 5 أبريل 2016 |
| CVE-2016-2067 | A-28305757 QC-CR988993 | حرج | Nexus 5X و Nexus 6 و Nexus 6P | 20 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل MediaTek Wi-Fi
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363 * M- ألبس 02689526 | حرج | Android One | 6 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
زيادة ضعف الامتياز في مكون أداء Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون أداء Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137 * QC-CR1010644 | حرج | Nexus 5 و Nexus 6 و Nexus 5X و Nexus 6P و Nexus 7 (2013) | 9 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
زيادة ضعف الامتياز في برنامج تشغيل الفيديو NVIDIA
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656 * N-CVE20163769 | حرج | نيكزس 9 | 18 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ثغرة أمنية في الامتيازات في برامج تشغيل MediaTek (خاصة بالجهاز)
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برامج تشغيل MediaTek المتعددة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752 * M- ألبس 02703102 | حرج | Android One | 22 أبريل 2016 |
| CVE-2016-3771 | A-29007611 * M- ألبس 02703102 | حرج | Android One | 22 أبريل 2016 |
| CVE-2016-3772 | A-29008188 * M- ألبس 02703102 | حرج | Android One | 22 أبريل 2016 |
| CVE-2016-3773 | A-29008363 * M- ألبس 02703102 | حرج | Android One | 22 أبريل 2016 |
| CVE-2016-3774 | A-29008609 * M- ألبس 02703102 | حرج | Android One | 22 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في نظام ملفات kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279 * | حرج | Nexus 5X و Nexus 6 و Nexus 6P و Nexus Player و Pixel C | 4 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل USB
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل USB إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303 * | حرج | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Nexus Player و Pixel C | 4 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع مستوى ضعف الامتيازات في مكونات Qualcomm
يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm بما في ذلك أداة تحميل التشغيل وبرنامج تشغيل الكاميرا وبرنامج تشغيل الأحرف والشبكات وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.
يتم تصنيف أخطر هذه المشكلات على أنها حرجة نظرًا لاحتمال تنفيذ التعليمات البرمجية التعسفي مما يؤدي إلى احتمال حدوث حل محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة* | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2014-9795 | أ -28820720 QC-CR681957 [ 2 ] | حرج | نيكزس 5 | 8 أغسطس 2014 |
| CVE-2014-9794 | أ -28821172 QC-CR646385 | حرج | Nexus 7 (2013) | 8 أغسطس 2014 |
| CVE-2015-8892 | أ -28822807 QC-CR902998 | حرج | Nexus 5X و Nexus 6P | 30 ديسمبر 2015 |
| CVE-2014-9781 | أ -28410333 QC-CR556471 | عالٍ | Nexus 7 (2013) | 6 فبراير 2014 |
| CVE-2014-9786 | أ -28557260 QC-CR545979 | عالٍ | Nexus 5 و Nexus 7 (2013) | 13 مارس 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 | عالٍ | نيكزس 5 | 13 مارس 2014 |
| CVE-2014-9779 | أ -28598347 QC-CR548679 | عالٍ | نيكزس 5 | 13 مارس 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 | عالٍ | Nexus 5 و Nexus 5X و Nexus 6P | 13 مارس 2014 |
| CVE-2014-9789 | أ -28749392 QC-CR556425 | عالٍ | نيكزس 5 | 13 مارس 2014 |
| CVE-2014-9793 | أ -28821253 QC-CR580567 | عالٍ | Nexus 7 (2013) | 13 مارس 2014 |
| CVE-2014-9782 | أ -28431531 QC-CR511349 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 مارس 2014 |
| CVE-2014-9783 | أ -28441831 QC-CR511382 [ 2 ] | عالٍ | Nexus 7 (2013) | 31 مارس 2014 |
| CVE-2014-9785 | أ -28469042 QC-CR545747 | عالٍ | Nexus 7 (2013) | 31 مارس 2014 |
| CVE-2014-9787 | أ -28571496 QC-CR545764 | عالٍ | Nexus 7 (2013) | 31 مارس 2014 |
| CVE-2014-9784 | أ -28442449 QC-CR585147 | عالٍ | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
| CVE-2014-9777 | A-28598501 QC-CR563654 | عالٍ | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
| CVE-2014-9778 | A-28598515 QC-CR563694 | عالٍ | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
| CVE-2014-9790 | أ -28769136 QC-CR545716 [ 2 ] | عالٍ | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
| CVE-2014-9792 | أ -28769399 QC-CR550606 | عالٍ | نيكزس 5 | 30 أبريل 2014 |
| CVE-2014-9797 | أ -28821090 QC-CR674071 | عالٍ | نيكزس 5 | 3 يوليو 2014 |
| CVE-2014-9791 | أ -28803396 QC-CR659364 | عالٍ | Nexus 7 (2013) | 29 أغسطس 2014 |
| CVE-2014-9796 | أ -28820722 QC-CR684756 | عالٍ | Nexus 5 و Nexus 7 (2013) | 30 سبتمبر 2014 |
| CVE-2014-9800 | أ -28822150 QC-CR692478 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 أكتوبر 2014 |
| CVE-2014-9799 | أ -28821731 QC-CR691916 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 أكتوبر 2014 |
| CVE-2014-9801 | أ -28822060 QC-CR705078 | عالٍ | نيكزس 5 | 28 نوفمبر 2014 |
| CVE-2014-9802 | أ -28821965 QC-CR705108 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 ديسمبر 2014 |
| CVE-2015-8891 | أ -28842418 QC-CR813930 | عالٍ | Nexus 5 و Nexus 7 (2013) | 29 مايو 2015 |
| CVE-2015-8888 | أ -28822465 QC-CR813933 | عالٍ | نيكزس 5 | 30 يونيو 2015 |
| CVE-2015-8889 | أ -28822677 QC-CR804067 | عالٍ | Nexus 6P | 30 يونيو 2015 |
| CVE-2015-8890 | أ -28822878 QC-CR823461 | عالٍ | Nexus 5 و Nexus 7 (2013) | 19 أغسطس 2015 |
* يتم توفير تصنيف الخطورة لهذه المشكلات مباشرةً من Qualcomm.
زيادة ضعف الامتياز في برنامج تشغيل Qualcomm USB
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm USB إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | عالٍ | Nexus 5X و Nexus 6P | 11 من آذار 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | عالٍ | Nexus 7 (2013) | 17 من آذار 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل كاميرا Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772 * QC-CR1001092 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) | 27 مارس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل كاميرا NVIDIA
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625 * N-CVE20163793 | عالٍ | نيكزس 9 | 5 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل الطاقة MediaTek
يمكن أن يؤدي رفع الامتياز في برنامج تشغيل الطاقة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222 * M-ALPS02677244 | عالٍ | Android One | 7 أبريل 2016 |
| CVE-2016-3796 | A-29008443 * M-ALPS02677244 | عالٍ | Android One | 7 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680 * QC-CR1001450 | عالٍ | جهاز Nexus 5X | 7 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل مستشعر أجهزة MediaTek
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل مستشعر أجهزة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490 * M- ألبس 02703105 | عالٍ | Android One | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل الفيديو MediaTek
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025 * M-ALPS02693738 | عالٍ | Android One | 11 أبريل 2016 |
| CVE-2016-3800 | A-28175027 * M-ALPS02693739 | عالٍ | Android One | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل MediaTek GPS
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek GPS إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914 * M-ALPS02688853 | عالٍ | Android One | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في نظام ملفات kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368 * | عالٍ | نيكزس 9 | 19 أبريل 2016 |
| CVE-2016-3803 | A-28588434 * | عالٍ | Nexus 5X و Nexus 6P | 4 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ثغرة أمنية في برنامج تشغيل إدارة الطاقة MediaTek
يمكن أن يؤدي رفع الامتياز في برنامج تشغيل إدارة الطاقة في MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766 * M-ALPS02694410 | عالٍ | Android One | 20 أبريل 2016 |
| CVE-2016-3805 | A-28333002 * M-ALPS02694412 | عالٍ | Android One | 21 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل شاشة MediaTek
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل شاشة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341 * M-ALPS02715341 | عالٍ | Android One | 26 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل الواجهة الطرفية التسلسلي
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الواجهة الطرفية التسلسلي إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196 * | عالٍ | Nexus 5X و Nexus 6P | 26 أبريل 2016 |
| CVE-2016-3808 | A-28430009 * | عالٍ | بكسل سي | 26 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل الصوت Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | عالٍ | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P | 28 أبريل 2016 |
رفع مستوى ضعف الامتياز في النواة
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2014-9803 | أ -28557020 نواة المنبع | عالٍ | Nexus 5X و Nexus 6P | جوجل الداخلية |
ضعف الكشف عن المعلومات في مكون الشبكات
قد تؤدي ثغرة الكشف عن المعلومات في مكون الشبكة إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522 * | عالٍ | كل Nexus | 5 مارس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522 * M-ALPS02694389 | عالٍ | Android One | 12 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل فيديو kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل فيديو kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556 * | معتدل | نيكزس 9 | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الفيديو MediaTek
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الفيديو MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833 * M-ALPS02688832 | معتدل | Android One | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج تشغيل Qualcomm USB
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل Qualcomm USB إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322 * QC-CR1010222 | معتدل | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج تشغيل كاميرا NVIDIA
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الكاميرا NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342 * N-CVE20163814 | معتدل | نيكزس 9 | 14 أبريل 2016 |
| CVE-2016-3815 | A-28522274 * N-CVE20163815 | معتدل | نيكزس 9 | 1 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج تشغيل شاشة MediaTek
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل شاشة MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240 * | معتدل | Android One | 26 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل kernel teletype
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل teletype إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-0723 | أ -28409131 نواة المنبع | معتدل | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Nexus Player و Pixel C | 26 أبريل 2016 |
رفض الخدمة في محمل الإقلاع Qualcomm
قد يؤدي رفض وجود ثغرة أمنية في محمل التمهيد Qualcomm إلى تمكين تطبيق ضار محلي من التسبب في اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | معتدل | نيكزس 5 | 31 أكتوبر 2014 |
| CVE-2015-8893 | A-28822690 QC-CR822275 | معتدل | Nexus 5 و Nexus 7 (2013) | 19 أغسطس 2015 |
أسئلة وأجوبة شائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟
تعالج مستويات تصحيح الأمان في 2016-07-01 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 2016-7-01. مستويات تصحيح الأمان في 2016-07-05 أو ما بعده تعالج جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 2016-07-05. ارجع إلى مركز المساعدة للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح إلى: [ro.build.version.security_patch]: [2016-07-01] أو [ro.build.version.security_patch]: [2016-07-05].
2. لماذا تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان؟
تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان من أجل تزويد شركاء Android بالمرونة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. يتم تشجيع شركاء Android على إصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث سلسلة من مستويات تصحيح الأمان.
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 يوليو 2016 أو أحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 يوليو 2016 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا ، بالإضافة إلى إصلاحات لجميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة. قد تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 يوليو 2016 أيضًا مجموعة فرعية من الإصلاحات المرتبطة بمستوى تصحيح الأمان في 5 يوليو 2016.
3. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟
في قسم تفاصيل الثغرات الأمنية في 2016-07-01 و 2016-07-05 ، يحتوي كل جدول على عمود محدث لأجهزة Nexus يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus ، فسيحتوي الجدول على "جميع أجهزة Nexus" في عمود أجهزة Nexus المحدثة . يشمل "All Nexus" الأجهزة المدعومة التالية: Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Android One و Nexus Player و Pixel C.
- بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus ، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدَّثة .
- لا توجد أجهزة Nexus : إذا لم تتأثر أجهزة Nexus بالمشكلة ، فسيكون الجدول "بلا" في عمود أجهزة Nexus المحدَّثة .
4. إلى ماذا تعين الإدخالات في عمود المراجع؟
قد تحتوي الإدخالات الموجودة ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:
| بادئة | المرجعي |
|---|---|
| أ- | معرف خطأ Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| م- | الرقم المرجعي MediaTek |
| ن- | الرقم المرجعي لـ NVIDIA |
التنقيحات
- 06 يوليو 2016: تم نشر النشرة.
- 07 يوليو 2016:
- تمت إضافة روابط AOSP.
- تمت إزالة CVE-2016-3794 لأنها نسخة مكررة من CVE-2016-3814
- تمت إضافة الإسناد إلى CVE-2016-2501 و CVE-2016-2502
- 11 تموز (يوليو) 2016: إحالة محدثة ل CVE-2016-3750
- 14 تموز (يوليو) 2016: الإسناد المحدث ل CVE-2016-2503
- 1 نيسان (أبريل) 2019: تم تحديث روابط التصحيح لـ CVE-2016-3818