تم النشر في 01 أغسطس 2016 | تم التحديث في 21 أكتوبر 2016
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال تحديث عن بعد (OTA). تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 05 أغسطس 2016 أو ما بعده تعالج هذه المشكلات. راجع الوثائق لمعرفة كيفية التحقق من مستوى تصحيح الأمان.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 06 يوليو 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.
إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- تمت مراجعة النشرة لتصحيح CVE-2016-3856 إلى CVE-2016-2060.
- تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 2016-08-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-08-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- 2016-08-05 : استكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-08-01 و 2016-08-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر OTA بمستوى تصحيح الأمان في 05 أغسطس 2016.
عمليات التخفيف من خدمة Android و Google
هذا ملخص لعوامل التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
نود أن نشكر هؤلاء الباحثين على مساهماتهم:
- Abhishek Arya و Oliver Chang و Martin Barbella من فريق Google Chrome Security Team: CVE-2016-3821، CVE-2016-3837
- آدم دوننفيلد وآخرون. of Check Point Software Technologies Ltd: CVE-2016-2504
- Chiachih Wu ( chiachih_wu ) و Mingjian Zhou (Mingjian_Zhou) و Xuxian Jiang من فريق C0RE : CVE-2016-3844
- Chiachih Wu ( chiachih_wu ) و Yuan-Tsung Lo ( computernik@gmail.com) و Xuxian Jiang من فريق C0RE : CVE-2016-3857
- David Benjamin and Kenny Root of Google: CVE-2016-3840
- Dawei Peng ( Vinc3nt4H ) من فريق Alibaba Mobile Security Team : CVE-2016-3822
- Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-3842
- Dianne Hackborn من Google: CVE-2016-2497
- ديمتري فيوكوف من فريق Google Dynamic Tools: CVE-2016-3841
- Gengjia Chen ( @ chengjia4574 ) ، pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3852
- Guang Gong (龚 广) ( oldfresher ) من فريق Alpha ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3834
- Kai Lu ( @ K3vinLuSec ) من FortiGuard Labs في Fortinet: CVE-2016-3820
- Kandala Shivaram reddy و DS و Uppi: CVE-2016-3826
- Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-3823، CVE-2016-3835، CVE-2016-3824، CVE-2016-3825
- ناثان كراندال ( natecray ) من فريق أمان منتجات Tesla Motors: CVE-2016-3847، CVE-2016-3848
- Peng Xiao و Chengming Yang و Ning You و Chao Yang و Yang Song of Alibaba Mobile Security Group: CVE-2016-3845
- Peter Pi ( heisecode ) من Trend Micro: CVE-2016-3849
- Qianwei Hu ( rayxcp@gmail.com ) من WooYun TangLab : CVE-2016-3846
- Qidan He ( flanker_hqd ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-3832
- Sharvil Nanavati من Google: CVE-2016-3839
- شينجو بارك ( ad_ili_rai ) وألتاف شيخ من الأمن في الاتصالات : CVE-2016-3831
- توم Rootjunky: CVE-2016-3853
- فاسيلي فاسيلييف: CVE-2016-3819
- Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2016-3827، CVE-2016-3828، CVE-2016-3829
- Wish Wu (吴 潍 浠) ( wish_wu ) من Trend Micro Inc .: CVE-2016-3843
- Yongke Wang ( Rudykewang ) من Tencent's Xuanwu LAB: CVE-2016-3836
نود أن نشكر دانيال ميكاي من شركة Copperhead Security ، و Jeff Vander Stoep و Yabin Cui من Google لمساهمتهم في تحديثات مستوى النظام الأساسي للتخفيف من فئة من الثغرات الأمنية مثل CVE-2016-3843. يستند هذا التخفيف إلى عمل براد شبنجلر من Grsecurity.
2016-08-01 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-08-01. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو ، فضلاً عن الوصول إلى الامتيازات التي لا تستطيع تطبيقات الجهات الخارجية الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3819 | أ -28533562 | حرج | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 2 مايو 2016 |
CVE-2016-3820 | أ -28673410 | حرج | كل Nexus | 6.0 ، 6.0.1 | 6 مايو 2016 |
CVE-2016-3821 | أ -28166152 | حرج | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في libjhead
قد تؤدي الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد في libjhead إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في التطبيقات التي تستخدم هذه المكتبة.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3822 | أ -28868315 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
رفع مستوى ضعف الامتياز في Mediaserver
يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3823 | أ -28815329 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 17 مايو 2016 |
CVE-2016-3824 | أ -28816827 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 17 مايو 2016 |
CVE-2016-3825 | A-28816964 | عالٍ | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 17 مايو 2016 |
CVE-2016-3826 | A-29251553 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 9 يونيو 2016 |
ضعف رفض الخدمة في Mediaserver
قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3827 | أ -28816956 | عالٍ | كل Nexus | 6.0.1 | 16 مايو 2016 |
CVE-2016-3828 | أ -28835995 | عالٍ | كل Nexus | 6.0 ، 6.0.1 | 17 مايو 2016 |
CVE-2016-3829 | أ -29023649 | عالٍ | كل Nexus | 6.0 ، 6.0.1 | 27 مايو 2016 |
CVE-2016-3830 | أ -29153599 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
ضعف رفض الخدمة في ساعة النظام
قد يؤدي رفض وجود ثغرة أمنية في ساعة النظام إلى تمكين مهاجم بعيد من تعطل الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3831 | أ -29083635 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 31 مايو 2016 |
رفع مستوى ضعف الامتياز في واجهات برمجة التطبيقات الخاصة بإطار العمل
قد يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة التطبيقات لإطار العمل إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الموجودة خارج مستويات أذونات التطبيق.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3832 | أ -28795098 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 15 مايو 2016 |
رفع مستوى ضعف الامتيازات في شل
قد يؤدي رفع الامتياز في Shell إلى تمكين تطبيق ضار محلي من تجاوز قيود الجهاز مثل قيود المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي لأذونات المستخدم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3833 | A-29189712 [ 2 ] | معتدل | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
ثغرة الكشف عن المعلومات في OpenSSL
قد تسمح ثغرة الكشف عن المعلومات في OpenSSL لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-2842 | أ -29060514 | لا أحد* | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 | 29 مارس 2016 |
* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية
ثغرة الكشف عن المعلومات في واجهات برمجة التطبيقات الخاصة بالكاميرا
قد تسمح ثغرة الكشف عن المعلومات في واجهات برمجة تطبيقات الكاميرا لتطبيق ضار محلي بالوصول إلى هياكل البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3834 | أ -28466701 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 28 أبريل 2016 |
ضعف الكشف عن المعلومات في Mediaserver
قد تسمح ثغرة الكشف عن المعلومات في Mediaserver لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3835 | A-28920116 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 23 مايو 2016 |
ثغرة الكشف عن المعلومات في SurfaceFlinger
قد تؤدي ثغرة الكشف عن المعلومات في خدمة SurfaceFlinger إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3836 | أ -28592402 | معتدل | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 4 مايو 2016 |
ثغرة الكشف عن المعلومات في شبكة Wi-Fi
قد تسمح ثغرة الكشف عن المعلومات في شبكة Wi-Fi لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3837 | أ -28164077 | معتدل | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
ضعف رفض الخدمة في واجهة مستخدم النظام
قد يؤدي رفض وجود ثغرة أمنية في واجهة مستخدم النظام إلى تمكين تطبيق ضار محلي من منع مكالمات 911 من شاشة مقفلة. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة في وظيفة حرجة.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3838 | أ -28761672 | معتدل | كل Nexus | 6.0 ، 6.0.1 | جوجل الداخلية |
ضعف رفض الخدمة في البلوتوث
قد يؤدي رفض الخدمة في البلوتوث إلى تمكين تطبيق ضار محلي من منع مكالمات 911 من جهاز Bluetooth. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة في وظيفة حرجة.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3839 | أ -28885210 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
2016-08-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-08-05. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل Qualcomm Wi-Fi
قد تؤدي الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين المهاجم عن بُعد من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال اختراق جهاز محلي دائم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2014-9902 | أ -28668638 | حرج | Nexus 7 (2013) | 31 مارس 2014 |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Conscrypt
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Conscrypt إلى تمكين مهاجم بعيد من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال تنفيذ التعليمات البرمجية عن بُعد.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3840 | أ -28751153 | حرج | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
رفع مستوى ضعف الامتيازات في مكونات Qualcomm
يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ، بما في ذلك محمل الإقلاع وبرنامج تشغيل الكاميرا ومحرك الأحرف والشبكات وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.
تم تصنيف أخطر هذه المشكلات على أنها حرجة نظرًا لاحتمال أن يقوم تطبيق ضار محلي بتنفيذ تعليمات برمجية عشوائية في سياق النواة مما يؤدي إلى حل محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2014-9863 | أ -28768146 | حرج | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9864 | أ -28747998 | عالٍ | Nexus 5 و Nexus 7 (2013) | 27 مارس 2014 |
CVE-2014-9865 | أ -28748271 | عالٍ | Nexus 5 و Nexus 7 (2013) | 27 مارس 2014 |
CVE-2014-9866 | أ -28747684 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9867 | أ -28749629 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9868 | أ -28749721 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9869 | أ -28749728 QC-CR # 514711 [ 2 ] | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9870 | أ -28749743 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9871 | أ -28749803 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9872 | أ -28750155 | عالٍ | نيكزس 5 | 31 مارس 2014 |
CVE-2014-9873 | أ -28750726 | عالٍ | Nexus 5 و Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9874 | أ -28751152 | عالٍ | Nexus 5 و Nexus 5X و Nexus 6P و Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9875 | أ -28767589 | عالٍ | Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9876 | أ -28767796 | عالٍ | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9877 | أ -28768281 | عالٍ | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9878 | أ -28769208 | عالٍ | نيكزس 5 | 30 أبريل 2014 |
CVE-2014-9879 | أ -28769221 | عالٍ | نيكزس 5 | 30 أبريل 2014 |
CVE-2014-9880 | أ -28769352 | عالٍ | Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9881 | أ -28769368 | عالٍ | Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9882 | أ -28769546 QC-CR # 552329 [ 2 ] | عالٍ | Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9883 | أ -28769912 | عالٍ | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9884 | أ -28769920 | عالٍ | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9885 | أ -28769959 | عالٍ | نيكزس 5 | 30 أبريل 2014 |
CVE-2014-9886 | أ -28815575 | عالٍ | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9887 | أ -28804057 | عالٍ | Nexus 5 و Nexus 7 (2013) | 3 يوليو 2014 |
CVE-2014-9888 | أ -28803642 | عالٍ | Nexus 5 و Nexus 7 (2013) | 29 أغسطس 2014 |
CVE-2014-9889 | أ -28803645 | عالٍ | نيكزس 5 | 31 أكتوبر 2014 |
CVE-2015-8937 | أ -28803962 | عالٍ | Nexus 5 و Nexus 6 و Nexus 7 (2013) | 31 مارس 2015 |
CVE-2015-8938 | أ -28804030 | عالٍ | نيكزس 6 | 31 مارس 2015 |
CVE-2015-8939 | أ -28398884 | عالٍ | Nexus 7 (2013) | 30 أبريل 2015 |
CVE-2015-8940 | أ -28813987 | عالٍ | نيكزس 6 | 30 أبريل 2015 |
CVE-2015-8941 | أ -28814502 | عالٍ | Nexus 6 و Nexus 7 (2013) | 29 مايو 2015 |
CVE-2015-8942 | أ -28814652 | عالٍ | نيكزس 6 | 30 يونيو 2015 |
CVE-2015-8943 | أ -28815158 | عالٍ | نيكزس 5 | 11 سبتمبر 2015 |
CVE-2014-9891 | أ -28749283 | معتدل | نيكزس 5 | 13 مارس 2014 |
CVE-2014-9890 | أ -28770207 | معتدل | Nexus 5 و Nexus 7 (2013) | 2 يونيو 2014 |
رفع مستوى ضعف الامتياز في مكون شبكات kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون شبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2015-2686 | أ -28759139 | حرج | كل Nexus | 23 مارس 2015 |
CVE-2016-3841 | أ -28746669 | حرج | كل Nexus | 3 ديسمبر 2015 |
رفع مستوى ضعف الامتياز في برنامج تشغيل Qualcomm GPU
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-2504 | أ -28026365 QC-CR # 1002974 | حرج | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) | 5 أبريل 2016 |
CVE-2016-3842 | أ -28377352 QC-CR # 1002974 | حرج | Nexus 5X و Nexus 6 و Nexus 6P | 25 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
زيادة ضعف الامتياز في مكون أداء Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون أداء Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
ملاحظة: يوجد أيضًا تحديث على مستوى النظام الأساسي في هذه النشرة ضمن A-29119870 مصمم للتخفيف من هذه الفئة من الثغرات الأمنية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3843 | A-28086229 * QC-CR # 1011071 | حرج | Nexus 5X و Nexus 6P | 7 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع مستوى ضعف الامتياز في النواة
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3857 | A-28522518 * | حرج | Nexus 7 (2013) | 2 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في نظام ذاكرة kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2015-1593 | A-29577822 | عالٍ | نيكزس بلاير | 13 فبراير 2015 |
CVE-2016-3672 | أ -28763575 | عالٍ | نيكزس بلاير | 25 مارس 2016 |
ارتفاع ضعف الامتياز في مكون صوت النواة
يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون صوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-2544 | A-28695438 | عالٍ | كل Nexus | 19 من كانون الثاني 2016 |
CVE-2016-2546 | أ -28694392 | عالٍ | بكسل سي | 19 من كانون الثاني 2016 |
CVE-2014-9904 | A-28592007 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player | 4 مايو 2016 |
ارتفاع ضعف الامتياز في نظام ملفات kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2012-6701 | أ -28939037 | عالٍ | Nexus 5 و Nexus 7 (2013) | 2 مارس 2016 |
رفع مستوى ضعف الامتياز في Mediaserver
يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها من قبل تطبيق تابع لجهة خارجية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3844 | A-28299517 * N-CVE-2016-3844 | عالٍ | Nexus 9 ، Pixel C | 19 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل فيديو kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل فيديو kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3845 | A-28399876 * | عالٍ | نيكزس 5 | 20 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل Serial Peripheral Interface
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Serial Peripheral Interface إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3846 | A-28817378 * | عالٍ | Nexus 5X و Nexus 6P | 17 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ثغرة أمنية في الامتياز في برنامج تشغيل وسائط NVIDIA
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل وسائط NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3847 | A-28871433 * N-CVE-2016-3847 | عالٍ | نيكزس 9 | 19 مايو 2016 |
CVE-2016-3848 | A-28919417 * N-CVE-2016-3848 | عالٍ | نيكزس 9 | 19 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل ION
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3849 | أ -28939740 | عالٍ | بكسل سي | 24 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
زيادة ضعف الامتيازات في محمل إقلاع Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في محمل إقلاع Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3850 | A-27917291 | عالٍ | Nexus 5 و Nexus 5X و Nexus 6P و Nexus 7 (2013) | 28 مارس 2016 |
ارتفاع ضعف الامتياز في النظام الفرعي لأداء kernel
قد يؤدي رفع نقاط ضعف الامتياز في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية بسبب سطح هجوم kernel المتاح للمهاجمين لاستغلاله.
ملاحظة: هذا تحديث على مستوى النظام الأساسي مصمم للتخفيف من فئة من الثغرات الأمنية مثل CVE-2016-3843 (A-28086229).
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3843 | A-29119870 * | عالٍ | كل Nexus | 6.0 ، 6.1 | جوجل الداخلية |
* تصحيح هذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
زيادة ضعف الامتيازات في محمل الإقلاع من LG Electronics
قد يؤدي ارتفاع ثغرة الامتياز في محمل الإقلاع من LG Electronics إلى تمكين المهاجم من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3851 | A-29189941 * | عالٍ | جهاز Nexus 5X | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات Qualcomm
يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ، بما في ذلك محمل الإقلاع وبرنامج تشغيل الكاميرا وبرنامج تشغيل الأحرف والشبكات وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.
تم تصنيف أخطر هذه المشكلات على أنها عالية نظرًا لاحتمال وصول تطبيق ضار محلي إلى بيانات خارج مستويات الأذونات الخاصة به مثل البيانات الحساسة دون إذن صريح من المستخدم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2014-9892 | أ -28770164 | عالٍ | Nexus 5 و Nexus 7 (2013) | 2 يونيو 2014 |
CVE-2015-8944 | أ -28814213 | عالٍ | Nexus 6 و Nexus 7 (2013) | 30 أبريل 2015 |
CVE-2014-9893 | أ -28747914 | معتدل | نيكزس 5 | 27 مارس 2014 |
CVE-2014-9894 | أ -28749708 | معتدل | Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9895 | أ -28750150 | معتدل | Nexus 5 و Nexus 7 (2013) | 31 مارس 2014 |
CVE-2014-9896 | أ -28767593 | معتدل | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9897 | أ -28769856 | معتدل | نيكزس 5 | 30 أبريل 2014 |
CVE-2014-9898 | أ -28814690 | معتدل | Nexus 5 و Nexus 7 (2013) | 30 أبريل 2014 |
CVE-2014-9899 | أ -28803909 | معتدل | نيكزس 5 | 3 يوليو 2014 |
CVE-2014-9900 | أ -28803952 | معتدل | Nexus 5 و Nexus 7 (2013) | 8 أغسطس 2014 |
ثغرة الكشف عن المعلومات في برنامج جدولة kernel
قد تؤدي ثغرة الكشف عن المعلومات في برنامج جدولة kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2014-9903 | أ -28731691 | عالٍ | Nexus 5X و Nexus 6P | 21 فبراير 2014 |
ثغرة الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi (خاص بالجهاز)
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3852 | A-29141147 * M-ALPS02751738 | عالٍ | Android One | 12 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج تشغيل USB
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل USB إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-4482 | A-28619695 | عالٍ | كل Nexus | 3 مايو 2016 |
رفض الخدمة في مكونات Qualcomm
يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ، ومن المحتمل أن تتضمن برنامج تشغيل Wi-Fi.
تم تصنيف أخطر هذه المشكلات على أنها عالية نظرًا لاحتمال أن يتسبب المهاجم في رفض مؤقت للخدمة عن بُعد مما يؤدي إلى تعليق الجهاز أو إعادة تشغيله.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2014-9901 | أ -28670333 | عالٍ | Nexus 7 (2013) | 31 مارس 2014 |
رفع مستوى ضعف الامتياز في خدمات Google Play
قد يسمح ارتفاع ثغرة الامتياز في خدمات Google Play لمهاجم محلي بتجاوز حماية إعادة ضبط المصنع والوصول إلى الجهاز. تم تصنيف هذا على أنه متوسط نظرًا لإمكانية تجاوز حماية إعادة ضبط المصنع ، مما قد يؤدي إلى إعادة ضبط الجهاز بنجاح ومسح جميع بياناته.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3853 | A-26803208 * | معتدل | كل Nexus | لا أحد | 4 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع ثغرة أمنية في الامتيازات في واجهات برمجة تطبيقات Framework
يمكن أن يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة التطبيقات لإطار العمل إلى تمكين تطبيق مثبت مسبقًا من زيادة أولوية عامل تصفية الهدف عند تحديث التطبيق دون إخطار المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها لاكتساب قدرات عالية بدون إذن صريح من المستخدم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-2497 | A-27450489 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | جوجل الداخلية |
ثغرة أمنية في الكشف عن المعلومات في مكون شبكات kernel
قد تؤدي ثغرة الكشف عن المعلومات في مكون شبكة kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-4486 | A-28620102 | معتدل | كل Nexus | 3 مايو 2016 |
ثغرة الكشف عن المعلومات في مكون صوت النواة
قد تؤدي ثغرة الكشف عن المعلومات في مكون صوت kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-4569 | أ -28980557 | معتدل | كل Nexus | 9 مايو 2016 |
CVE-2016-4578 | أ -28980217 نواة المنبع [ 2 ] | معتدل | كل Nexus | 11 مايو 2016 |
نقاط الضعف في مكونات Qualcomm
يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ، بما في ذلك محمل الإقلاع ، وبرنامج تشغيل الكاميرا ، وبرنامج تشغيل الشخصية ، والشبكات ، وبرنامج تشغيل الصوت ، وبرنامج تشغيل الفيديو.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3854 | QC-CR # 897326 | عالٍ | لا أحد | فبراير 2016 |
CVE-2016-3855 | QC-CR # 990824 | عالٍ | لا أحد | مايو 2016 |
CVE-2016-2060 | QC-CR # 959631 | معتدل | لا أحد | أبريل 2016 |
أسئلة وأجوبة شائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟
مستويات التصحيح الأمني في 2016-08-01 أو ما بعده تعالج جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 2016-08-01. مستويات التصحيح الأمني في 2016-08-05 أو أحدث تعالج جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 2016-08-05. ارجع إلى مركز المساعدة للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]: [2016-08-01] أو [ro.build.version.security_patch]: [2016-08-05].
2. لماذا تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان؟
تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان من أجل تزويد شركاء Android بالمرونة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. يتم تشجيع شركاء Android على إصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث سلسلة من مستويات تصحيح الأمان.
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 أغسطس 2016 أو أحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 أغسطس 2016 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا ، بالإضافة إلى إصلاحات لجميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة. قد تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 أغسطس 2016 أيضًا مجموعة فرعية من الإصلاحات المرتبطة بمستوى تصحيح الأمان في 5 أغسطس 2016.
3 . كيف يمكنني تحديد أجهزة Nexus التي تتأثر بكل مشكلة؟
في قسمي تفاصيل الثغرات الأمنية 2016-08-01 و 2016-08-05 ، يحتوي كل جدول على عمود محدث لأجهزة Nexus يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus ، فسيحتوي الجدول على "جميع أجهزة Nexus" في عمود أجهزة Nexus المحدثة . يشمل "All Nexus" الأجهزة المدعومة التالية: Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Android One و Nexus Player و Pixel C.
- بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus ، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدَّثة .
- لا توجد أجهزة Nexus : إذا لم تتأثر أجهزة Nexus بالمشكلة ، فسيكون الجدول "بلا" في عمود أجهزة Nexus المحدَّثة .
4. إلى ماذا تعين الإدخالات في عمود المراجع؟
قد تحتوي الإدخالات الموجودة ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:
بادئة | المرجعي |
---|---|
أ- | معرف خطأ Android |
QC- | الرقم المرجعي لشركة Qualcomm |
م- | الرقم المرجعي MediaTek |
ن- | الرقم المرجعي لـ NVIDIA |
التنقيحات
- 01 أغسطس 2016: تم نشر النشرة.
- 02 أغسطس 2016: تمت مراجعة النشرة لتشمل روابط AOSP.
- 16 أغسطس 2016: تم تصحيح CVE-2016-3856 إلى CVE-2016-2060 وتحديث عنوان URL المرجعي.
- 21 تشرين الأول (أكتوبر) 2016: تصحيح الخطأ المطبعي في CVE-2016-4486.