تاريخ النشر: 1 آب (أغسطس) 2016 | تاريخ التعديل: 21 تشرين الأول (أكتوبر) 2016
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. إلى جانب نشرة الأمان، أصدرنا تحديثًا لأمان أجهزة Nexus من خلال تحديث عبر شبكة غير سلكية (OTA). تم أيضًا إصدار ملفّات برمجية أساسية لأجهزة Nexus على موقع "مطوّرو تطبيقات Google". تعالج مستويات تصحيحات الأمان في 5 آب (أغسطس) 2016 أو الإصدارات الأحدث هذه الصعوبات. راجِع المستندات لمعرفة كيفية التحقّق من مستوى تصحيح الأمان.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة بتاريخ 6 تموز (يوليو) 2016 أو قبل ذلك. تم إصدار تصحيحات رمز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) حيثما كان ذلك منطبقًا. يتضمّن هذا التقرير أيضًا روابط إلى تصحيحات خارج AOSP.
إنّ أخطر هذه المشاكل هي ثغرة أمنية خطيرة يمكن أن تؤدي إلى تفعيل تنفيذ الرموز البرمجية عن بُعد على جهاز متأثر من خلال طُرق متعدّدة، مثل البريد الإلكتروني وتصفّح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يستند تقييم الخطورة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى القسم إجراءات التخفيف في Android وخدمات Google لمعرفة تفاصيل عن وسائل حماية نظام Android الأساسي ووسائل حماية الخدمات، مثل SafetyNet، التي تحسِّن من أمان نظام Android الأساسي.
وننصحك بقبول هذه التحديثات على أجهزتك.
الإشعارات
- تم تعديل النشرة لتصحيح CVE-2016-3856 إلى CVE-2016-2060.
- تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان لمنح شركاء Android
مرونة أكبر في معالجة مجموعة فرعية من
الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. يمكنك الاطّلاع على الأسئلة الشائعة والإجابات عنها للحصول على
معلومات إضافية:
- 2016-08-01: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة ملف تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01-08-2016 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- 2016-08-05: سلسلة كاملة لمستوى تحديث الأمان تشير سلسلة ملف تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بكل من 01-08-2016 و05-08-2016 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- ستتلقّى أجهزة Nexus المتوافقة تحديثًا واحدًا عبر شبكة غير سلكية يتضمّن مستوى تصحيح الأمان بتاريخ 5 آب (أغسطس) 2016.
إجراءات التخفيف في Android وخدمات Google
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- إنّ استغلال العديد من المشاكل على Android أصبح أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. وننصحك جميع المستخدمين بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يراقب فريق أمان Android الاستخدام المسيء للتطبيقات من خلال التحقّق من التطبيقات وSafetyNet، اللذَين تم تصميمهما لتحذير المستخدمين من التطبيقات التي قد تكون ضارة. تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا على الأجهزة التي تعمل بـ خدمات Google Play للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبتون التطبيقات من خارج Google Play. يُحظر استخدام أدوات برمجة التطبيقات لمنح أذونات الوصول إلى الجذر على Google Play، ولكن تحذّر ميزة "التحقّق من التطبيقات" المستخدمين عند محاولة تثبيت تطبيق تم رصده يمنح أذونات الوصول إلى الجذر، بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة "التحقق من التطبيقات" تحديد وتثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة تتعلّق بتعزيز الأذونات وحظرها. إذا سبق تثبيت تطبيق مماثل، ستُرسِل ميزة "التحقّق من التطبيقات" إشعارًا إلى المستخدم وستحاول إزالة التطبيق الذي تم رصده.
- لا تُرسِل تطبيقات Google Hangouts وMessenger الوسائط تلقائيًا إلى عمليات مثل Mediaserver، وذلك حسب الاقتضاء.
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- أبهيشيك آريا وأوليفر تشانغ ومارتن باربيلا من فريق أمان Google Chrome: CVE-2016-3821 وCVE-2016-3837
- آدم دونفيلد وآخرون من شركة Check Point Software Technologies Ltd.: CVE-2016-2504
- تشياتشيه وو (@chiachih_wu)، مينغجين تشو (@Mingjian_Zhou)، وإكسيان جيانغ من فريق C0RE: CVE-2016-3844
- تشيا تشيه وو (@chiachih_wu)، ويوان تسونغ لو (computernik@gmail.com)، وشيوشيان جيانغ من فريق C0RE: CVE-2016-3857
- ديفيد بنجامين وكين رووت من Google: CVE-2016-3840
- داوي بينغ (Vinc3nt4H) من فريق أمان الأجهزة الجوّالة في Alibaba: CVE-2016-3822
- دي شين (@returnsme) من KeenLab (@keen_lab)، Tencent: CVE-2016-3842
- "ديان هاكبون" من Google: CVE-2016-2497
- ديمتري فيوكوف من فريق Google Dynamic Tools: CVE-2016-3841
- Gengjia Chen (@chengjia4574)، pjf (weibo.com/jfpan) من مختبر IceSword، Qihoo 360 Technology Co. Ltd: CVE-2016-3852
- غوانغ غون (龚广) (@oldfresher) من فريق Alpha، Qihoo 360 Technology Co. Ltd: CVE-2016-3834
- "كاي لو" (@K3vinLuSec) من FortiGuard Labs في Fortinet: CVE-2016-3820
- Kandala Shivaram reddy, DS, and Uppi: CVE-2016-3826
- مينغيان تشو (@Mingjian_Zhou) وتشيا تشيه وو (@chiachih_wu) وشيكسيان جيان من فريق C0RE: CVE-2016-3823 وCVE-2016-3835 وCVE-2016-3824 وCVE-2016-3825
- "ناثان كراندال" (@natecray) من فريق أمان منتجات Tesla Motors: CVE-2016-3847 وCVE-2016-3848
- Peng Xiao وChengming Yang وNing You وChao Yang وYang song من Alibaba Mobile Security Group: CVE-2016-3845
- بيتر بي (@heisecode) من Trend Micro: CVE-2016-3849
- "تشيانوي هو" (rayxcp@gmail.com) من WooYun TangLab: CVE-2016-3846
- Qidan He (@flanker_hqd) من KeenLab (@keen_lab)، Tencent: CVE-2016-3832
- شارفيل نانافاتي من Google: CVE-2016-3839
- شينجو بارك (@ad_ili_rai) و ألتاف شايك من الأمان في الاتصالات السلكية واللاسلكية: CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- فاسيليوس فاسيليف: CVE-2016-3819
- "وي تشاو صن" (@sunblate) من Alibaba Inc.: CVE-2016-3827 وCVE-2016-3828 وCVE-2016-3829
- Wish Wu (吴潍浠) (@wish_wu) من Trend Micro Inc: CVE-2016-3843
- "يونغكي وانغ" (@Rudykewang) من مختبر Xuanwu في Tencent: CVE-2016-3836
نشكر "دانيال ميكاي" من شركة Copperhead Security و"جيف فاندير ستوب" و"يابين كوي" من Google على مساهمتهم في توفير تحديثات على مستوى النظام الأساسي بهدف الحدّ من مجموعة من الثغرات الأمنية، مثل CVE-2016-3843. تستند هذه الميزة إلى جهد بذله "براد سبينجلر" من Grsecurity.
مستوى رمز تصحيح الأمان في 1 آب (أغسطس) 2016: تفاصيل ثغرة الأمان
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 01-08-2016. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمرجعات المرتبطة بها ومستوى الخطورة وأجهزة Nexus التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم من خلاله حلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تتعلّق تغييرات متعدّدة بخلل واحد، يتم ربط مراجع إضافية بأرقام تالية لرقم تعريف الخلل.
ثغرة تنفيذ رمز عن بُعد في Mediaserver
يمكن أن تسمح ثغرة أمنية لتنفيذ رموز برمجية عن بُعد في Mediaserver لمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمز عن بُعد في سياق عملية Mediaserver. يمكن لعملية Mediaserver الوصول إلى أحداث البث الصوتي والمرئي، بالإضافة إلى الوصول إلى امتيازات لا يمكن للتطبيقات التابعة لجهات خارجية الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، ويتوفر العديد من التطبيقات التي تتيح الوصول إليها باستخدام محتوى عن بُعد، وأبرزها رسائل الوسائط المتعددة وتشغيل الوسائط في المتصفّح.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | حرِج | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 2 أيار (مايو) 2016 |
| CVE-2016-3820 | A-28673410 | حرِج | كل أجهزة Nexus | 6.0 و6.0.1 | 6 أيار (مايو) 2016 |
| CVE-2016-3821 | A-28166152 | حرِج | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | Google فقط |
ثغرة أمنية في libjhead تتيح تنفيذ رمز عن بُعد
يمكن أن تسمح ثغرة أمنية في libjhead لتنفيذ تعليمات برمجية عن بُعد، ما يتيح لمهاجم باستخدام ملف مصمّم خصيصًا تنفيذ رمز عشوائي في سياق عملية غير مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمال تنفيذ رمز عن بُعد في التطبيقات التي تستخدم هذه المكتبة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | Google فقط |
ثغرة أمنية في Mediaserver تؤدي إلى إساءة استخدام الأذونات المميزة وعالية المستوى
يمكن أن تؤدي ثغرة أمنية في Mediaserver تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 17 أيار (مايو) 2016 |
| CVE-2016-3824 | A-28816827 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 17 أيار (مايو) 2016 |
| CVE-2016-3825 | A-28816964 | عالية | كل أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 | 17 أيار (مايو) 2016 |
| CVE-2016-3826 | A-29251553 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 9 حزيران (يونيو) 2016 |
ثغرة أمنية في Mediaserver تؤدي إلى حجب الخدمة
يمكن أن تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكّن المهاجم من استخدامملف تم إنشاؤه خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض مؤقت للخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | عالية | كل أجهزة Nexus | 6.0.1 | 16 أيار (مايو) 2016 |
| CVE-2016-3828 | A-28835995 | عالية | كل أجهزة Nexus | 6.0 و6.0.1 | 17 أيار (مايو) 2016 |
| CVE-2016-3829 | A-29023649 | عالية | كل أجهزة Nexus | 6.0 و6.0.1 | 27 أيار (مايو) 2016 |
| CVE-2016-3830 | A-29153599 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | Google فقط |
ثغرة أمنية تؤدي إلى حجب الخدمة في ساعة النظام
يمكن أن تؤدي ثغرة في الخدمة في ساعة النظام إلى السماح لمهاجم عن بُعد بتعطُّل الجهاز. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمال حدوث رفض مؤقت للخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 31 أيار (مايو) 2016 |
ثغرة أمنية في واجهات برمجة تطبيقات إطار العمل تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الحصول على أذونات مميزة في واجهات برمجة التطبيقات للإطار إلى السماح لتطبيق محلي ضار بتجاوز وسائل حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها معتدلة لأنّه يمكن استخدامها للوصول إلى بيانات خارج مستويات أذونات التطبيق.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | متوسط | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 15 أيار (مايو) 2016 |
ثغرة أمنية في Shell تؤدي إلى تجاوز الأذونات
يمكن أن يؤدي الحصول على امتياز زائد في Shell إلى السماح لتطبيق محلي ضار بتجاوز قيود الجهاز، مثل قيود المستخدمين. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تؤدي إلى تجاوز أذونات المستخدم على الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [2] | متوسط | كل أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 | Google فقط |
ثغرة أمنية في OpenSSL تؤدي إلى الكشف عن المعلومات
يمكن أن تسمح ثغرة أمنية في OpenSSL لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حساسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | لا شيء* | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 | 29 آذار (مارس) 2016 |
* لا تتأثّر هذه الثغرة الأمنية بأجهزة Nexus المتوافقة التي تم تثبيت جميع التحديثات المتاحة عليها
ثغرة أمنية في واجهات برمجة تطبيقات الكاميرا تؤدي إلى الإفصاح عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في واجهات برمجة تطبيقات الكاميرا إلى السماح لتطبيق محلي ضار بالوصول إلى هياكل البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | متوسط | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 28 نيسان (أبريل) 2016 |
ثغرة أمنية تؤدي إلى الكشف عن المعلومات في Mediaserver
يمكن أن تسمح إحدى نقاط الضعف في Mediaserver بالكشف عن المعلومات لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | متوسط | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 23 أيار (مايو) 2016 |
ثغرة أمنية في SurfaceFlinger تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في خدمة SurfaceFlinger التي تؤدي إلى الإفصاح عن المعلومات إلى تفعيل تطبيق ضار على الجهاز للوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّه يمكن استخدامها للوصول إلى data الحساسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | متوسط | كل أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 | 4 أيار (مايو) 2016 |
ثغرة أمنية في شبكة Wi-Fi تؤدي إلى الإفصاح عن المعلومات
يمكن أن تسمح إحدى الثغرات الأمنية التي تؤدي إلى الإفصاح عن المعلومات في شبكة Wi-Fi لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | متوسط | كل أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 | Google فقط |
ثغرة أمنية في واجهة مستخدم النظام تؤدي إلى حجب الخدمة
يمكن أن تؤدي ثغرة في الخدمة في واجهة مستخدم النظام إلى السماح لتطبيق محلي ضار بمنع إجراء مكالمات إلى 911 من شاشة مقفلة. تم تصنيف هذه المشكلة على أنّها "متوسطة" بسبب احتمالية حدوث هجوم حجب الخدمة على وظيفة مهمة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | متوسط | كل أجهزة Nexus | 6.0 و6.0.1 | Google فقط |
ثغرة أمنية في البلوتوث تؤدي إلى حجب الخدمة
يمكن أن تؤدي إحدى الثغرات الأمنية في البلوتوث إلى منع مكالمات الطوارئ 911 من جهاز يتضمّن بلوتوث من خلال أحد التطبيقات المحلّية الضارّة. تم تصنيف هذه المشكلة على أنّها متوسطة بسبب احتمالية حدوث هجوم حجب الخدمة على وظيفة أساسية.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | متوسط | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | Google فقط |
مستوى رمز تصحيح الأمان في 05-08-2016: تفاصيل الثغرة الأمنية
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 05-08-2016. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمرجعات المرتبطة بها ومستوى الخطورة وأجهزة Nexus التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm تتيح تنفيذ رمز عن بُعد
يمكن أن تسمح ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm لتنفيذ رمز برمجي عن بُعد، ما يتيح لصاعق عن بُعد تنفيذ رمز برمجي عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "حرجة" بسبب احتمالية اختراق الجهاز نهائيًا على المستوى المحلي.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | حرِج | Nexus 7 (2013) | 31 آذار (مارس) 2014 |
ثغرة ناتجة عن تنفيذ رمز عن بُعد في Conscrypt
يمكن أن تسمح ثغرة أمنية في تنفيذ الرموز البرمجية عن بُعد في Conscrypt لمهاجم عن بُعد بتنفيذ رمز عشوائي في سياق عملية مميّزة. تم تصنيف هذه المشكلة على أنّها "حرجة" بسبب احتمال تنفيذ رمز عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | حرِج | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | Google فقط |
ثغرة أمنية في مكونات Qualcomm تؤدي إلى تصعيد الأذونات
يحتوي الجدول التالي على نقاط ضعف في الأمان تؤثر في مكونات Qualcomm، ويُحتمل أن تشمل أداة تحميل التشغيل وبرنامج تشغيل الكاميرا وبرنامج تشغيل الأحرف وشبكة الاتصال وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.
يتم تصنيف أخطر هذه المشاكل على أنّها "خطيرة" بسبب احتمال أن يؤدي أحد التطبيقات المحلية الخبيثة إلى تنفيذ رمز عشوائي في سياق ملف التمهيد (المعروف باسم "النواة") ما يؤدي إلى اختراق الجهاز بشكل دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | حرِج | Nexus 5 وNexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9864 | A-28747998 | عالية | Nexus 5 وNexus 7 (2013) | 27 آذار (مارس) 2014 |
| CVE-2014-9865 | A-28748271 | عالية | Nexus 5 وNexus 7 (2013) | 27 آذار (مارس) 2014 |
| CVE-2014-9866 | A-28747684 | عالية | Nexus 5 وNexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9867 | A-28749629 | عالية | Nexus 5 وNexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9868 | A-28749721 | عالية | Nexus 5 وNexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9869 | A-28749728 | عالية | Nexus 5 وNexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9870 | A-28749743 | عالية | Nexus 5 وNexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9871 | A-28749803 | عالية | Nexus 5 وNexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9872 | A-28750155 | عالية | Nexus 5 | 31 آذار (مارس) 2014 |
| CVE-2014-9873 | A-28750726 | عالية | Nexus 5 وNexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9874 | A-28751152 | عالية | Nexus 5 وNexus 5X وNexus 6P وNexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9875 | A-28767589 | عالية | Nexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9876 | A-28767796 | عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9877 | A-28768281 | عالية | Nexus 5 وNexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9878 | A-28769208 | عالية | Nexus 5 | 30 نيسان (أبريل) 2014 |
| CVE-2014-9879 | A-28769221 | عالية | Nexus 5 | 30 نيسان (أبريل) 2014 |
| CVE-2014-9880 | A-28769352 | عالية | Nexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9881 | A-28769368 | عالية | Nexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9882 | A-28769546 | عالية | Nexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9883 | A-28769912 | عالية | Nexus 5 وNexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9884 | A-28769920 | عالية | Nexus 5 وNexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9885 | A-28769959 | عالية | Nexus 5 | 30 نيسان (أبريل) 2014 |
| CVE-2014-9886 | A-28815575 | عالية | Nexus 5 وNexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9887 | A-28804057 | عالية | Nexus 5 وNexus 7 (2013) | 3 تموز (يوليو) 2014 |
| CVE-2014-9888 | A-28803642 | عالية | Nexus 5 وNexus 7 (2013) | 29 آب (أغسطس) 2014 |
| CVE-2014-9889 | A-28803645 | عالية | Nexus 5 | 31 تشرين الأول (أكتوبر) 2014 |
| CVE-2015-8937 | A-28803962 | عالية | Nexus 5 وNexus 6 وNexus 7 (2013) | 31 آذار (مارس) 2015 |
| CVE-2015-8938 | A-28804030 | عالية | Nexus 6 | 31 آذار (مارس) 2015 |
| CVE-2015-8939 | A-28398884 | عالية | Nexus 7 (2013) | 30 نيسان (أبريل) 2015 |
| CVE-2015-8940 | A-28813987 | عالية | Nexus 6 | 30 نيسان (أبريل) 2015 |
| CVE-2015-8941 | A-28814502 | عالية | Nexus 6 وNexus 7 (2013) | 29 أيار (مايو) 2015 |
| CVE-2015-8942 | A-28814652 | عالية | Nexus 6 | 30 حزيران (يونيو) 2015 |
| CVE-2015-8943 | A-28815158 | عالية | Nexus 5 | 11 أيلول (سبتمبر) 2015 |
| CVE-2014-9891 | A-28749283 | متوسط | Nexus 5 | 13 آذار (مارس) 2014 |
| CVE-2014-9890 | A-28770207 | متوسط | Nexus 5 وNexus 7 (2013) | 2 حزيران (يونيو) 2014 |
ثغرة أمنية في مكوّن "الشبكة" في النواة تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في رفع الأذونات في مكوّن الشبكات في النواة إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لهجوم دائم محلي، ما قد يتطلّب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | حرِج | كل أجهزة Nexus | 23 آذار (مارس) 2015 |
| CVE-2016-3841 | A-28746669 | حرِج | كل أجهزة Nexus | 3 كانون الأول (ديسمبر) 2015 |
ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات من Qualcomm تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات من Qualcomm إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365
QC-CR#1002974 |
حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) | 5 نيسان (أبريل) 2016 |
| CVE-2016-3842 | A-28377352
QC-CR#1002974 |
حرِج | Nexus 5X وNexus 6 وNexus 6P | 25 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في مكوّن الأداء من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في رفع الامتيازات في مكوّن Qualcomm للأداء إلى السماح لتطبيق ضار على الجهاز بتنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لهجوم دائم محلي، ما قد يتطلّب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
ملاحظة: يتوفّر أيضًا تحديث على مستوى النظام الأساسي في هذه النشرة بموجب A-29119870 مصمّم للتخفيف من هذه الفئة من الثغرات الأمنية.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229*
QC-CR#1011071 |
حرِج | Nexus 5X وNexus 6P | 7 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في نواة النظام تتيح تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في رفع الأذونات في النواة إلى تمكين أحد التطبيقات الضارّة المحلية من تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | حرِج | Nexus 7 (2013) | 2 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في نظام ذاكرة kernel تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في نظام ذاكرة النواة إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | عالية | Nexus Player | 13 شباط (فبراير) 2015 |
| CVE-2016-3672 | A-28763575 | عالية | Nexus Player | 25 آذار (مارس) 2016 |
ثغرة أمنية في مكوّن الصوت في النواة تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في رفع الأذونات في مكوّن الصوت في النواة إلى السماح لتطبيق ضار محلي بتنفيذ رمز برمجي عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | عالية | كل أجهزة Nexus | 19 كانون الثاني (يناير) 2016 |
| CVE-2016-2546 | A-28694392 | عالية | Pixel C | 19 كانون الثاني (يناير) 2016 |
| CVE-2014-9904 | A-28592007 | عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player | 4 أيار (مايو) 2016 |
ثغرة أمنية في نظام ملفات kernel تؤدي إلى تصعيد الأذونات
قد يؤدي رفع ثغرة الامتيازات في نظام ملفات النواة إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | عالية | Nexus 5 وNexus 7 (2013) | 2 آذار (مارس) 2016 |
ثغرة أمنية في Mediaserver تؤدي إلى إساءة استخدام الأذونات المميزة وعالية المستوى
يمكن أن تؤدي ثغرة أمنية في Mediaserver تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517*
N-CVE-2016-3844 |
عالية | Nexus 9 وPixel C | 19 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل الفيديو الخاص بالنواة تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو في نظام التشغيل إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق نظام التشغيل. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | عالية | Nexus 5 | 20 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل Serial Peripheral Interface (واجهة الأجهزة الملحقة التسلسلية) تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في برنامج تشغيل Serial Peripheral Interface إلى تمكين تطبيق ضار محلي من تنفيذ رمز برمجي عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها أولاً تتطلّب اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | عالية | Nexus 5X وNexus 6P | 17 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل وسائط NVIDIA تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وسائط NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433*
N-CVE-2016-3847 |
عالية | Nexus 9 | 19 أيار (مايو) 2016 |
| CVE-2016-3848 | A-28919417*
N-CVE-2016-3848 |
عالية | Nexus 9 | 19 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل ION تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل ION إلى منح تطبيق محلي ضار إمكانية تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | عالية | Pixel C | 24 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تتعلّق بتجاوز الأذونات في أداة تحميل Qualcomm
يمكن أن تؤدي ثغرة أمنية في أداة تحميل التشغيل من Qualcomm إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | عالية | Nexus 5 وNexus 5X وNexus 6P وNexus 7 (2013) | 28 آذار (مارس) 2016 |
ثغرة أمنية في نظام التشغيل تؤدي إلى تصعيد الأذونات في نظام التشغيل الفرعي لأداء kernel
يمكن أن تسمح ثغرات الحصول على أذونات مميزة في النظام الفرعي لأداء النواة بتنفيذ تطبيق ضار محلي لرمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب سطح هجوم النواة المتاح للمخترقين للاستفادة منه.
ملاحظة: هذا تحديث على مستوى النظام الأساسي مصمّم للحدّ من مجموعة من الثغرات الأمنية، مثل CVE-2016-3843 (A-28086229).
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | عالية | كل أجهزة Nexus | 6.0 و6.1 | Google فقط |
* لا يتوفّر تصحيح لهذه المشكلة بشكل علني. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تؤدي إلى تصعيد الأذونات في أداة تحميل البرامج لأجهزة LG Electronics
يمكن أن تؤدي ثغرة أمنية في أداة تحميل البرامج الثابتة في LG Electronics إلى منح المهاجم إذنًا بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | عالية | Nexus 5X | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في مكوّنات Qualcomm تؤدي إلى الكشف عن المعلومات
يحتوي الجدول أدناه على نقاط ضعف في الأمان تؤثر في مكونات Qualcomm، ويُحتمل أن تشمل أداة تحميل التشغيل وبرنامج تشغيل الكاميرا وبرنامج تشغيل الأحرف وشبكة الاتصال وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.
يتم تصنيف أخطر هذه المشاكل على أنّها "عالية" بسبب احتمال أن يتمكّن تطبيق ضار على الجهاز من الوصول إلى البيانات خارج مستويات أذوناته مثل البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | عالية | Nexus 5 وNexus 7 (2013) | 2 حزيران (يونيو) 2014 |
| CVE-2015-8944 | A-28814213 | عالية | Nexus 6 وNexus 7 (2013) | 30 نيسان (أبريل) 2015 |
| CVE-2014-9893 | A-28747914 | متوسط | Nexus 5 | 27 آذار (مارس) 2014 |
| CVE-2014-9894 | A-28749708 | متوسط | Nexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9895 | A-28750150 | متوسط | Nexus 5 وNexus 7 (2013) | 31 آذار (مارس) 2014 |
| CVE-2014-9896 | A-28767593 | متوسط | Nexus 5 وNexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9897 | A-28769856 | متوسط | Nexus 5 | 30 نيسان (أبريل) 2014 |
| CVE-2014-9898 | A-28814690 | متوسط | Nexus 5 وNexus 7 (2013) | 30 نيسان (أبريل) 2014 |
| CVE-2014-9899 | A-28803909 | متوسط | Nexus 5 | 3 تموز (يوليو) 2014 |
| CVE-2014-9900 | A-28803952 | متوسط | Nexus 5 وNexus 7 (2013) | 8 آب (أغسطس) 2014 |
ثغرة أمنية في أداة جدولة نظام التشغيل لعرض المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في ميزة الإفصاح عن المعلومات في جدولة النواة إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | عالية | Nexus 5X وNexus 6P | 21 شباط (فبراير) 2014 |
ثغرة أمنية في برنامج تشغيل Wi-Fi من MediaTek تؤدي إلى الكشف عن المعلومات (خاص بالجهاز)
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل Wi-Fi من MediaTek إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى data الحساسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147*
M-ALPS02751738 |
عالية | Android One | 12 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تتعلّق بكشف المعلومات في برنامج تشغيل USB
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل USB إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | عالية | كل أجهزة Nexus | 3 أيار (مايو) 2016 |
ثغرة أمنية تؤدي إلى حجب الخدمة في مكوّنات Qualcomm
يتضمّن الجدول التالي ثغرات أمنية تؤثر في مكوّنات Qualcomm، وربما تشمل برنامج تشغيل Wi-Fi.
يتم تصنيف أخطر هذه المشاكل على أنّها "عالية" بسبب احتمال أن يتسبب أحد المهاجمين في حدوث رفض مؤقت للخدمة عن بُعد يؤدي إلى تعليق الجهاز أو إعادة تشغيله.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | عالية | Nexus 7 (2013) | 31 آذار (مارس) 2014 |
ثغرة أمنية لرفع مستوى الأذونات في "خدمات Google Play"
يمكن أن تسمح إحدى الثغرات الأمنية التي تؤدي إلى الحصول على امتيازات إضافية في "خدمات Google Play" لصاخب محلي بتجاوز ميزة "الحماية من إعادة الضبط على الإعدادات الأصلية" والوصول إلى الجهاز. تم تصنيف هذا الإجراء على أنّه "متوسط الخطورة" بسبب إمكانية تجاوز ميزة "حماية إعادة الضبط على الإعدادات الأصلية"، ما قد يؤدي إلى إعادة ضبط الجهاز بنجاح و wipedمحو جميع بياناته.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | متوسط | كل أجهزة Nexus | بدون تحديد نمط | 4 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في "واجهات برمجة تطبيقات Framework" تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي إحدى نقاط الضعف في تصعيد الأذونات في واجهات برمجة التطبيقات الخاصة بالإطار إلى السماح لتطبيق pre-installed (مثبَّت مسبقًا) بزيادة أولوية فلتر الأهداف عند تحديث التطبيق بدون إرسال إشعار إلى المستخدم. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للحصول على إمكانات متقدّمة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | متوسط | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | Google فقط |
ثغرة في عنصر "الشبكة" في النواة تؤدي إلى إفشاء المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في مكوّن شبكة kernel إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | متوسط | كل أجهزة Nexus | 3 أيار (مايو) 2016 |
ثغرة أمنية في عنصر الصوت في النواة تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في مكوّن الصوت في kernel إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | متوسط | كل أجهزة Nexus | 9 أيار (مايو) 2016 |
| CVE-2016-4578 | A-28980217 | متوسط | كل أجهزة Nexus | 11 أيار (مايو) 2016 |
الثغرات الأمنية في مكونات Qualcomm
يحتوي الجدول أدناه على نقاط ضعف في الأمان تؤثر في مكونات Qualcomm، ويُحتمل أن تشمل أداة تحميل التشغيل وبرنامج تشغيل الكاميرا وبرنامج تشغيل الأحرف وبرنامج تشغيل الشبكة وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | عالية | بدون تحديد نمط | شباط (فبراير) 2016 |
| CVE-2016-3855 | QC-CR#990824 | عالية | بدون تحديد نمط | أيار (مايو) 2016 |
| CVE-2016-2060 | QC-CR#959631 | متوسط | بدون تحديد نمط | نيسان (أبريل) 2016 |
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدّثًا لحلّ هذه المشاكل؟
تعالج مستويات تصحيحات الأمان بتاريخ 01-08-2016 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى سلسلة تصحيح الأمان بتاريخ 01-08-2016. تعالج مستويات تصحيحات الأمان بتاريخ 05/08/2016 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى سلسلة تصحيح الأمان بتاريخ 05/08/2016. يُرجى الرجوع إلى مركز المساعدة للحصول على تعليمات حول كيفية التحقّق من مستوى تحديث الأمان. على المصنّعين الذين يُدرِجون هذه التعديلات ضبط مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-08-01] أو [ro.build.version.security_patch]:[2016-08-05].
2. لماذا تتضمّن هذه النشرة الإخبارية سلاسل رمز تصحيح أمان سمتَين؟
تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان من أجل منح شركاء Android مرونة أكبر في معالجة مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصحك، شركاء Android، بحلّ جميع المشاكل الواردة في هذه النشرة واستخدام أحدث سلسلة لمستوى تصحيح الأمان.
يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 آب (أغسطس) 2016 أو إصدارًا أحدث جميع الرموز الإصلاحية السارية في نشرة الأمان هذه (والسابقة).
يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 آب (أغسطس) 2016 جميع المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة. قد تتضمّن أيضًا الأجهزة التي تستخدم مستوى رمز تصحيح الأمان بتاريخ 1 آب (أغسطس) 2016 مجموعة فرعية من الإصلاحات المرتبطة بمستوى رمز تصحيح الأمان بتاريخ 5 آب (أغسطس) 2016.
3. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟
في قسمَي تفاصيل ثغرات الأمان بتاريخ 01/08/2016 و05/08/2016 ، يحتوي كل جدول على عمود "أجهزة Nexus التي تم تحديثها" الذي يشمل نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يتضمّن هذا العمود بعض الخيارات:
- جميع أجهزة Nexus: إذا كانت المشكلة تؤثر في جميع أجهزة Nexus، سيعرض الجدول "جميع أجهزة Nexus" في عمود أجهزة Nexus التي تم تحديثها. تشمل فئة "جميع أجهزة Nexus" الأجهزة التالية المتوافقة: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) وNexus 9 وAndroid One وNexus Player وPixel C.
- بعض أجهزة Nexus: إذا لم تؤثّر المشكلة في جميع أجهزة Nexus، يتم إدراج أجهزة Nexus المتأثّرة في عمود أجهزة Nexus التي تم تحديثها.
- لا تتوفّر أجهزة Nexus: إذا لم تتأثر أي أجهزة Nexus بال مشكلة، سيظهر في الجدول الخيار "لا تتوفّر" في عمود أجهزة Nexus التي تم تحديثها.
4. ما هي العناصر التي ترتبط بها الإدخالات في عمود "المراجع"؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم ربط هذه البادئات على النحو التالي:
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
إصدارات
- 1 آب (أغسطس) 2016: تم نشر النشرة.
- 2 آب (أغسطس) 2016: تم تعديل النشرة لتضمين روابط AOSP.
- 16 آب (أغسطس) 2016: تم تصحيح CVE-2016-3856 إلى CVE-2016-2060 وتم تعديل عنوان URL المرجعي.
- 21 تشرين الأول (أكتوبر) 2016: تم تصحيح خطأ إملائي في CVE-2016-4486.