این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

بولتن امنیتی اندروید - آگوست 2016

تاریخ انتشار 10 مرداد 1395 | به روز شده در 21 اکتبر 2016

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار Nexus نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 آگوست 2016 یا جدیدتر به این مسائل می پردازد. برای یادگیری نحوه بررسی سطح وصله امنیتی به مستندات مراجعه کنید.

در تاریخ 6 ژوئیه 2016 یا قبل از آن، شرکا در مورد مسائل شرح داده شده در بولتن مطلع شدند. در صورت لزوم، وصله‌های کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت از پلتفرم امنیتی اندروید و محافظت از خدمات مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

بولتن برای تصحیح CVE-2016-3856 به CVE-2016-2060 اصلاح شد.
این بولتن دارای دو رشته در سطح وصله امنیتی است تا به شرکای اندرویدی انعطاف‌پذیری ارائه دهد تا سریع‌تر برای رفع زیرمجموعه‌ای از آسیب‌پذیری‌ها که در همه دستگاه‌های Android مشابه هستند، حرکت کنند. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
- 01/08/2016 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/08/2016 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
- 05/08/2016 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01-08-2016 و 2016-08-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
دستگاه‌های Nexus پشتیبانی‌شده یک به‌روزرسانی OTA با سطح وصله امنیتی 05 اوت 2016 دریافت خواهند کرد.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه‌شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به‌طور فعال نظارت بر سوء استفاده می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به‌ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

آبیشک آریا، الیور چانگ و مارتین باربلا از تیم امنیتی گوگل کروم: CVE-2016-3821، CVE-2016-3837
آدام دوننفلد و همکاران از Check Point Software Technologies Ltd.: CVE-2016-2504
Chiachih Wu ( @chiachih_wu )، Mingjian Zhou ( @Mingjian_Zhou )، و Xuxian Jiang از تیم C0RE : CVE-2016-3844
Chiachih Wu ( @chiachih_wu )، Yuan-Tsung Lo ( computernik@gmail.com) و Xuxian Jiang از تیم C0RE : CVE-2016-3857
دیوید بنجامین و کنی روت از گوگل: CVE-2016-3840
داوی پنگ ( Vinc3nt4H ) از تیم امنیت موبایل علی بابا : CVE-2016-3822
دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-3842
دایان هکبورن از گوگل: CVE-2016-2497
دیمیتری ویوکوف از تیم Google Dynamic Tools: CVE-2016-3841
Gengjia Chen ( @chengjia4574 )، pjf ( weibo.com/jfpan ) از IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-3852
گوانگ گونگ (龚广) ( @oldfresher ) از تیم آلفا، Qihoo 360 Technology Co. Ltd .: CVE-2016-3834
کای لو ( @K3vinLuSec ) از آزمایشگاه‌های FortiGuard Fortinet: CVE-2016-3820
Kandala Shivaram Reddy، DS و Uppi: CVE-2016-3826
Mingjian Zhou ( @Mingjian_Zhou )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-38
ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا موتورز: CVE-2016-3847، CVE-2016-3848
آهنگ پنگ شیائو، چنگ مینگ یانگ، نینگ یو، چائو یانگ و یانگ گروه امنیت موبایل علی بابا: CVE-2016-3845
پیتر پی ( @heisecode ) از Trend Micro: CVE-2016-3849
Qianwei Hu ( rayxcp@gmail.com ) از WooYun TangLab : CVE-2016-3846
Qidan He ( @flanker_hqd ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-3832
شارویل نانواتی از گوگل: CVE-2016-3839
پارک شینجو ( @ad_ili_rai ) و الطاف شیک امنیت در ارتباطات : CVE-2016-3831
Tom Rootjunky: CVE-2016-3853
واسیلی واسیلیف: CVE-2016-3819
Weichao Sun ( @sunblate ) از Alibaba Inc.: CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
Wish Wu (吴潍浠) ( @wish_wu ) از Trend Micro Inc .: CVE-2016-3843
یونگکه وانگ ( @Rudykewang ) از آزمایشگاه Xuanwu Tencent: CVE-2016-3836

مایلیم از Daniel Micay از Copperhead Security، Jeff Vander Stoep و Yabin Cui از Google برای کمک آنها در به‌روزرسانی‌های سطح پلتفرم برای کاهش دسته‌ای از آسیب‌پذیری‌ها مانند CVE-2016-3843 تشکر کنیم. این کاهش بر اساس کار براد اسپنگلر از Grsecurity است.

سطح وصله امنیتی 01/08/2016—جزئیات آسیب پذیری امنیتی

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-08-2016 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های Nexus به‌روزرسانی‌شده، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم)، و تاریخ گزارش‌شده وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است به شناسه اشکال مرتبط می کنیم، مانند لیست تغییرات AOSP. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در Mediaserver

یک آسیب‌پذیری اجرای کد از راه دور در Mediaserver می‌تواند مهاجم را با استفاده از یک فایل خاص ساخته شده قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده‌ها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است. فرآیند Mediaserver به جریان های صوتی و تصویری و همچنین به امتیازاتی دسترسی دارد که برنامه های شخص ثالث معمولاً نمی توانند به آنها دسترسی داشته باشند.

عملکرد آسیب‌دیده به‌عنوان بخش اصلی سیستم‌عامل ارائه می‌شود و برنامه‌های متعددی وجود دارد که امکان دسترسی به آن را با محتوای راه دور فراهم می‌کند، به ویژه MMS و مرورگر پخش رسانه.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3819	الف-28533562	بحرانی	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	2 مه 2016
CVE-2016-3820	الف-28673410	بحرانی	همه Nexus	6.0، 6.0.1	6 مه 2016
CVE-2016-3821	الف-28166152	بحرانی	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	گوگل داخلی

آسیب پذیری اجرای کد از راه دور در libjhead

یک آسیب‌پذیری اجرای کد از راه دور در libjhead می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند. به دلیل امکان اجرای کد از راه دور در برنامه هایی که از این کتابخانه استفاده می کنند، این موضوع به عنوان High رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3822	الف-28868315	بالا	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	گوگل داخلی

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3823	الف-28815329	بالا	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	17 مه 2016
CVE-2016-3824	الف-28816827	بالا	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	17 مه 2016
CVE-2016-3825	الف-28816964	بالا	همه Nexus	5.0.2، 5.1.1، 6.0، 6.0.1	17 مه 2016
CVE-2016-3826	الف-29251553	بالا	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	9 ژوئن 2016

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر سازد تا دستگاه را قطع یا راه‌اندازی مجدد کند. این موضوع به دلیل امکان انکار موقت سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3827	الف-28816956	بالا	همه Nexus	6.0.1	16 مه 2016
CVE-2016-3828	الف-28835995	بالا	همه Nexus	6.0، 6.0.1	17 مه 2016
CVE-2016-3829	الف-29023649	بالا	همه Nexus	6.0، 6.0.1	27 مه 2016
CVE-2016-3830	الف-29153599	بالا	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	گوگل داخلی

آسیب پذیری انکار سرویس در ساعت سیستم

آسیب پذیری انکار سرویس در ساعت سیستم می تواند یک مهاجم راه دور را قادر سازد که دستگاه را خراب کند. این موضوع به دلیل امکان انکار موقت سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3831	الف-29083635	بالا	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	31 مه 2016

افزایش آسیب پذیری امتیاز در API های چارچوب

افزایش آسیب‌پذیری امتیاز در APIهای چارچوب می‌تواند یک برنامه مخرب محلی را قادر به دور زدن حفاظت‌های سیستم عاملی کند که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کند. این مشکل به‌عنوان متوسط رتبه‌بندی می‌شود زیرا می‌توان از آن برای دسترسی به داده‌هایی که خارج از سطوح مجوز برنامه هستند استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3832	الف-28795098	در حد متوسط	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	15 مه 2016

افزایش آسیب پذیری امتیاز در شل

افزایش امتیاز در Shell می تواند یک برنامه مخرب محلی را قادر سازد تا محدودیت های دستگاه مانند محدودیت های کاربر را دور بزند. این مشکل به‌عنوان متوسط رتبه‌بندی می‌شود زیرا یک دور زدن محلی از مجوزهای کاربر است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3833	A-29189712 [ 2 ]	در حد متوسط	همه Nexus	5.0.2، 5.1.1، 6.0، 6.0.1	گوگل داخلی

آسیب پذیری افشای اطلاعات در OpenSSL

یک آسیب‌پذیری افشای اطلاعات در OpenSSL می‌تواند به یک برنامه مخرب محلی اجازه دهد تا به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به‌عنوان متوسط رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-2842	الف-29060514	هیچ یک*	همه Nexus	4.4.4، 5.0.2، 5.1.1	29 مارس 2016

* دستگاه‌های Nexus پشتیبانی‌شده که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند

آسیب‌پذیری افشای اطلاعات در APIهای دوربین

یک آسیب‌پذیری افشای اطلاعات در APIهای دوربین می‌تواند به یک برنامه مخرب محلی اجازه دهد تا به ساختارهای داده خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به‌عنوان متوسط رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3834	الف-28466701	در حد متوسط	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	28 آوریل 2016

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند به یک برنامه مخرب محلی اجازه دهد تا به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به‌عنوان متوسط رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3835	الف-28920116	در حد متوسط	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	23 مه 2016

آسیب پذیری افشای اطلاعات در SurfaceFlinger

یک آسیب‌پذیری افشای اطلاعات در سرویس SurfaceFlinger می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3836	الف-28592402	در حد متوسط	همه Nexus	5.0.2، 5.1.1، 6.0، 6.0.1	4 مه 2016

آسیب پذیری افشای اطلاعات در وای فای

یک آسیب‌پذیری افشای اطلاعات در Wi-Fi می‌تواند به یک برنامه مخرب محلی اجازه دهد تا به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این مشکل متوسط رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3837	الف-28164077	در حد متوسط	همه Nexus	5.0.2، 5.1.1، 6.0، 6.0.1	گوگل داخلی

آسیب پذیری انکار سرویس در رابط کاربری سیستم

آسیب پذیری انکار سرویس در رابط کاربری سیستم می تواند یک برنامه مخرب محلی را قادر سازد تا از تماس های 911 از صفحه قفل شده جلوگیری کند. این موضوع به دلیل امکان انکار سرویس در یک تابع بحرانی به عنوان متوسط رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3838	الف-28761672	در حد متوسط	همه Nexus	6.0، 6.0.1	گوگل داخلی

آسیب پذیری انکار سرویس در بلوتوث

آسیب پذیری انکار سرویس در بلوتوث می تواند یک برنامه مخرب محلی را قادر سازد تا از تماس های 911 از یک دستگاه بلوتوث جلوگیری کند. این موضوع به دلیل امکان انکار سرویس در یک تابع بحرانی به عنوان متوسط رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3839	الف-28885210	در حد متوسط	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	گوگل داخلی

سطح وصله امنیتی 05/08/2016—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۵-۰۸-۲۰۱۶ اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های Nexus به‌روزرسانی‌شده، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم)، و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در درایور وای فای کوالکام

یک آسیب پذیری اجرای کد از راه دور در درایور وای فای کوالکام می تواند یک مهاجم راه دور را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2014-9902	الف-28668638 QC-CR#553937 QC-CR#553941	بحرانی	Nexus 7 (2013)	31 مارس 2014

آسیب پذیری اجرای کد از راه دور در Conscrypt

یک آسیب پذیری اجرای کد از راه دور در Conscrypt می تواند یک مهاجم راه دور را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این موضوع به دلیل امکان اجرای کد از راه دور به عنوان Critical رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3840	الف-28751153	بحرانی	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	گوگل داخلی

افزایش آسیب پذیری امتیاز در قطعات کوالکام

جدول زیر حاوی آسیب‌پذیری‌های امنیتی است که بر اجزای کوالکام تأثیر می‌گذارد، که احتمالاً شامل بوت‌لودر، درایور دوربین، درایو کاراکتر، شبکه، درایور صدا و درایور ویدیو می‌شود.

شدیدترین این مشکلات به دلیل احتمال اینکه یک برنامه مخرب محلی بتواند کد دلخواه را در چارچوب هسته که منجر به درمعرض خطر دائمی دستگاه محلی می‌شود، به‌عنوان بحرانی رتبه‌بندی می‌کند، که ممکن است برای تعمیر دستگاه نیاز به reflash کردن سیستم عامل داشته باشد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2014-9863	الف-28768146 QC-CR#549470	بحرانی	Nexus 5، Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9864	الف-28747998 QC-CR#561841	بالا	Nexus 5، Nexus 7 (2013)	27 مارس 2014
CVE-2014-9865	الف-28748271 QC-CR#550013	بالا	Nexus 5، Nexus 7 (2013)	27 مارس 2014
CVE-2014-9866	الف-28747684 QC-CR#511358	بالا	Nexus 5، Nexus 7 (2013)	31 مارس 2014
CVE-2014-9867	الف-28749629 QC-CR#514702	بالا	Nexus 5، Nexus 7 (2013)	31 مارس 2014
CVE-2014-9868	الف-28749721 QC-CR#511976	بالا	Nexus 5، Nexus 7 (2013)	31 مارس 2014
CVE-2014-9869	الف-28749728 QC-CR#514711 [ 2 ]	بالا	Nexus 5، Nexus 7 (2013)	31 مارس 2014
CVE-2014-9870	الف-28749743 QC-CR#561044	بالا	Nexus 5، Nexus 7 (2013)	31 مارس 2014
CVE-2014-9871	الف-28749803 QC-CR#514717	بالا	Nexus 5، Nexus 7 (2013)	31 مارس 2014
CVE-2014-9872	الف-28750155 QC-CR#590721	بالا	نکسوس 5	31 مارس 2014
CVE-2014-9873	الف-28750726 QC-CR#556860	بالا	Nexus 5، Nexus 7 (2013)	31 مارس 2014
CVE-2014-9874	الف-28751152 QC-CR#563086	بالا	Nexus 5، Nexus 5X، Nexus 6P، Nexus 7 (2013)	31 مارس 2014
CVE-2014-9875	الف-28767589 QC-CR#483310	بالا	Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9876	الف-28767796 QC-CR#483408	بالا	Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9877	الف-28768281 QC-CR#547231	بالا	Nexus 5، Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9878	الف-28769208 QC-CR#547479	بالا	نکسوس 5	30 آوریل 2014
CVE-2014-9879	الف-28769221 QC-CR#524490	بالا	نکسوس 5	30 آوریل 2014
CVE-2014-9880	الف-28769352 QC-CR#556356	بالا	Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9881	الف-28769368 QC-CR#539008	بالا	Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9882	الف-28769546 QC-CR#552329 [ 2 ]	بالا	Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9883	الف-28769912 QC-CR#565160	بالا	Nexus 5، Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9884	الف-28769920 QC-CR#580740	بالا	Nexus 5، Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9885	الف-28769959 QC-CR#562261	بالا	نکسوس 5	30 آوریل 2014
CVE-2014-9886	الف-28815575 QC-CR#555030	بالا	Nexus 5، Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9887	الف-28804057 QC-CR#636633	بالا	Nexus 5، Nexus 7 (2013)	3 جولای 2014
CVE-2014-9888	الف-28803642 QC-CR#642735	بالا	Nexus 5، Nexus 7 (2013)	29 اوت 2014
CVE-2014-9889	الف-28803645 QC-CR#674712	بالا	نکسوس 5	31 اکتبر 2014
CVE-2015-8937	الف-28803962 QC-CR#770548	بالا	Nexus 5، Nexus 6، Nexus 7 (2013)	31 مارس 2015
CVE-2015-8938	الف-28804030 QC-CR#766022	بالا	Nexus 6	31 مارس 2015
CVE-2015-8939	الف-28398884 QC-CR#779021	بالا	Nexus 7 (2013)	30 آوریل 2015
CVE-2015-8940	الف-28813987 QC-CR#792367	بالا	Nexus 6	30 آوریل 2015
CVE-2015-8941	الف-28814502 QC-CR#792473	بالا	Nexus 6، Nexus 7 (2013)	29 مه 2015
CVE-2015-8942	الف-28814652 QC-CR#803246	بالا	Nexus 6	30 ژوئن 2015
CVE-2015-8943	الف-28815158 QC-CR#794217 QC-CR#836226	بالا	نکسوس 5	11 سپتامبر 2015
CVE-2014-9891	الف-28749283 QC-CR#550061	در حد متوسط	نکسوس 5	13 مارس 2014
CVE-2014-9890	الف-28770207 QC-CR#529177	در حد متوسط	Nexus 5، Nexus 7 (2013)	2 ژوئن 2014

افزایش آسیب پذیری امتیاز در مؤلفه شبکه هسته

افزایش آسیب پذیری امتیاز در مؤلفه شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2015-2686	الف-28759139 هسته بالادست	بحرانی	همه Nexus	23 مارس 2015
CVE-2016-3841	الف-28746669 هسته بالادست	بحرانی	همه Nexus	3 دسامبر 2015

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی کوالکام

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-2504	الف-28026365 QC-CR#1002974	بحرانی	Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 7 (2013)	5 آوریل 2016
CVE-2016-3842	الف-28377352 QC-CR#1002974	بحرانی	Nexus 5X، Nexus 6، Nexus 6P	25 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در مؤلفه عملکرد کوالکام

افزایش آسیب پذیری امتیاز در مؤلفه عملکرد کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

توجه: همچنین یک به روز رسانی در سطح پلت فرم در این بولتن تحت A-29119870 وجود دارد که برای کاهش این دسته از آسیب پذیری ها طراحی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3843	A-28086229* QC-CR#1011071	بحرانی	Nexus 5X، Nexus 6P	7 آوریل 2016

افزایش آسیب پذیری امتیاز در هسته

افزایش آسیب پذیری امتیاز در هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3857	A-28522518*	بحرانی	Nexus 7 (2013)	2 مه 2016

افزایش آسیب پذیری امتیاز در سیستم حافظه هسته

افزایش آسیب پذیری امتیاز در سیستم حافظه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2015-1593	الف-29577822 هسته بالادست	بالا	Nexus Player	13 فوریه 2015
CVE-2016-3672	الف-28763575 هسته بالادست	بالا	Nexus Player	25 مارس 2016

افزایش آسیب پذیری امتیاز در مؤلفه صدای هسته

افزایش آسیب پذیری امتیاز در مؤلفه صدای هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-2544	الف-28695438 هسته بالادست	بالا	همه Nexus	19 ژانویه 2016
CVE-2016-2546	الف-28694392 هسته بالادست	بالا	پیکسل سی	19 ژانویه 2016
CVE-2014-9904	A-28592007 هسته بالادست	بالا	Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player	4 مه 2016

افزایش آسیب پذیری امتیاز در سیستم فایل هسته

افزایش آسیب پذیری امتیاز در سیستم فایل هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2012-6701	الف-28939037 هسته بالادست	بالا	Nexus 5، Nexus 7 (2013)	2 مارس 2016

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3844	A-28299517* N-CVE-2016-3844	بالا	Nexus 9، Pixel C	19 آوریل 2016

افزایش آسیب پذیری امتیاز در درایور ویدیوی هسته

افزایش آسیب پذیری امتیاز در درایور ویدیوی هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3845	A-28399876*	بالا	نکسوس 5	20 آوریل 2016

افزایش آسیب پذیری امتیاز در درایور رابط سریالی

افزایش آسیب پذیری امتیاز در درایور Serial Peripheral Interface می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3846	A-28817378*	بالا	Nexus 5X، Nexus 6P	17 مه 2016

افزایش آسیب پذیری امتیاز در درایور رسانه NVIDIA

افزایش آسیب پذیری امتیاز در درایور رسانه NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3847	A-28871433* N-CVE-2016-3847	بالا	Nexus 9	19 مه 2016
CVE-2016-3848	A-28919417* N-CVE-2016-3848	بالا	Nexus 9	19 مه 2016

افزایش آسیب پذیری امتیاز در درایور ION

افزایش آسیب پذیری امتیاز در درایور ION می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3849	الف-28939740	بالا	پیکسل سی	24 مه 2016

افزایش آسیب پذیری امتیاز در بوت لودر کوالکام

افزایش آسیب پذیری امتیاز در بوت لودر کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3850	الف-27917291 QC-CR#945164	بالا	Nexus 5، Nexus 5X، Nexus 6P، Nexus 7 (2013)	28 مارس 2016

افزایش آسیب پذیری امتیاز در زیر سیستم عملکرد هسته

افزایش آسیب پذیری های امتیاز در زیرسیستم عملکرد هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل سطح حمله هسته در دسترس مهاجمان برای سوء استفاده به عنوان High رتبه بندی شده است.

توجه: این یک به‌روزرسانی در سطح پلتفرم است که برای کاهش دسته‌ای از آسیب‌پذیری‌ها مانند CVE-2016-3843 (A-28086229) طراحی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3843	A-29119870*	بالا	همه Nexus	6.0، 6.1	گوگل داخلی

* وصله ای برای این مشکل به صورت عمومی در دسترس نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در بوت لودر LG Electronics

افزایش آسیب پذیری امتیاز در بوت لودر LG Electronics می تواند مهاجم را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3851	A-29189941*	بالا	Nexus 5X	گوگل داخلی

آسیب پذیری افشای اطلاعات در اجزای کوالکام

جدول زیر حاوی آسیب‌پذیری‌های امنیتی است که بر اجزای کوالکام تأثیر می‌گذارد، که احتمالاً شامل بوت‌لودر، درایور دوربین، درایور کاراکتر، شبکه، درایور صدا و درایور ویدیو می‌شود.

شدیدترین این مشکلات به دلیل امکان دسترسی یک برنامه مخرب محلی به داده های خارج از سطوح مجوز خود مانند داده های حساس بدون مجوز صریح کاربر، به عنوان High رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2014-9892	الف-28770164 QC-CR#568717	بالا	Nexus 5، Nexus 7 (2013)	2 ژوئن 2014
CVE-2015-8944	الف-28814213 QC-CR#786116	بالا	Nexus 6، Nexus 7 (2013)	30 آوریل 2015
CVE-2014-9893	الف-28747914 QC-CR#542223	در حد متوسط	نکسوس 5	27 مارس 2014
CVE-2014-9894	الف-28749708 QC-CR#545736	در حد متوسط	Nexus 7 (2013)	31 مارس 2014
CVE-2014-9895	الف-28750150 QC-CR#570757	در حد متوسط	Nexus 5، Nexus 7 (2013)	31 مارس 2014
CVE-2014-9896	الف-28767593 QC-CR#551795	در حد متوسط	Nexus 5، Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9897	الف-28769856 QC-CR#563752	در حد متوسط	نکسوس 5	30 آوریل 2014
CVE-2014-9898	الف-28814690 QC-CR#554575	در حد متوسط	Nexus 5، Nexus 7 (2013)	30 آوریل 2014
CVE-2014-9899	A-28803909 QC-CR#547910	در حد متوسط	نکسوس 5	3 جولای 2014
CVE-2014-9900	الف-28803952 QC-CR#570754	در حد متوسط	Nexus 5، Nexus 7 (2013)	8 اوت 2014

آسیب‌پذیری افشای اطلاعات در زمان‌بندی هسته

یک آسیب‌پذیری افشای اطلاعات در زمان‌بندی هسته می‌تواند یک برنامه مخرب محلی را قادر سازد تا به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2014-9903	الف-28731691 هسته بالادست	بالا	Nexus 5X، Nexus 6P	21 فوریه 2014

آسیب پذیری افشای اطلاعات در درایور وای فای مدیاتک (ویژه دستگاه)

یک آسیب‌پذیری افشای اطلاعات در درایور وای‌فای MediaTek می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3852	الف-29141147* M-ALPS02751738	بالا	اندروید وان	12 آوریل 2016

آسیب پذیری افشای اطلاعات در درایور USB

یک آسیب‌پذیری افشای اطلاعات در درایور USB می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-4482	الف-28619695 هسته بالادست	بالا	همه Nexus	3 مه 2016

آسیب پذیری انکار سرویس در اجزای کوالکام

جدول زیر حاوی آسیب‌پذیری‌های امنیتی است که بر اجزای کوالکام، احتمالاً از جمله درایور وای‌فای، تأثیر می‌گذارد.

شدیدترین این مشکلات به دلیل احتمال اینکه یک مهاجم می تواند باعث انکار موقت سرویس از راه دور و در نتیجه قطع شدن یا راه اندازی مجدد دستگاه شود، به عنوان High رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2014-9901	الف-28670333 QC-CR#548711	بالا	Nexus 7 (2013)	31 مارس 2014

افزایش آسیب پذیری امتیاز در سرویس های Google Play

افزایش آسیب‌پذیری امتیاز در سرویس‌های Google Play می‌تواند به یک مهاجم محلی اجازه دهد تا محافظت بازنشانی کارخانه را دور بزند و به دستگاه دسترسی پیدا کند. به دلیل امکان دور زدن Factory Reset Protection، که می‌تواند منجر به بازنشانی موفقیت‌آمیز دستگاه و پاک کردن تمام داده‌های آن شود، به‌عنوان متوسط رتبه‌بندی می‌شود.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-3853	A-26803208*	در حد متوسط	همه Nexus	هیچ یک	4 مه 2016

افزایش آسیب پذیری امتیاز در Framework API

افزایش آسیب‌پذیری امتیاز در APIهای چارچوب می‌تواند به یک برنامه از پیش نصب‌شده این امکان را بدهد که اولویت فیلتر قصد خود را هنگامی که برنامه بدون اطلاع کاربر به‌روزرسانی می‌شود، افزایش دهد. این مشکل به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا بدون اجازه صریح کاربر استفاده کرد.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-2497	الف-27450489	در حد متوسط	همه Nexus	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1	گوگل داخلی

آسیب پذیری افشای اطلاعات در مؤلفه شبکه هسته

یک آسیب‌پذیری افشای اطلاعات در مؤلفه شبکه هسته می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-4486	الف-28620102 هسته بالادست	در حد متوسط	همه Nexus	3 مه 2016

آسیب‌پذیری افشای اطلاعات در مؤلفه صدای هسته

یک آسیب‌پذیری افشای اطلاعات در مؤلفه صدای هسته می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-4569	الف-28980557 هسته بالادست	در حد متوسط	همه Nexus	9 مه 2016
CVE-2016-4578	الف-28980217 هسته بالادست [ 2 ]	در حد متوسط	همه Nexus	11 مه 2016

آسیب پذیری در اجزای کوالکام

CVE	منابع	شدت	دستگاه های Nexus به روز شده	تاریخ گزارش شده
CVE-2016-3854	QC-CR#897326	بالا	هیچ یک	فوریه 2016
CVE-2016-3855	QC-CR#990824	بالا	هیچ یک	می 2016
CVE-2016-2060	QC-CR#959631	در حد متوسط	هیچ یک	آوریل 2016

پرسش ها و پاسخ های متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

سطوح وصله امنیتی 01/08/2016 یا بعد از آن به تمام مسائل مرتبط با سطح رشته وصله امنیتی 01/08/2016 رسیدگی می‌کند. سطوح وصله امنیتی 2016-08-05 یا بعد از آن، تمام مسائل مرتبط با سطح رشته وصله امنیتی 05-08-2016 را بررسی می کند. برای دستورالعمل‌های نحوه بررسی سطح وصله امنیتی به مرکز راهنمایی مراجعه کنید. سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی: [ro.build.version.security_patch]:[01-08-2016] یا [ro.build.version.security_patch]:[05-08-2016] تنظیم کنند.

2. چرا این بولتن دارای دو رشته سطح وصله امنیتی است؟

این بولتن دارای دو رشته در سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری را برای حرکت سریع‌تر برای رفع زیرمجموعه‌ای از آسیب‌پذیری‌ها که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین رشته سطح وصله امنیتی استفاده کنند.

دستگاه‌هایی که از سطح وصله امنیتی 5 آگوست 2016 یا جدیدتر استفاده می‌کنند، باید همه وصله‌های قابل‌اجرا در این بولتن‌های امنیتی (و قبلی) را شامل شوند.

دستگاه‌هایی که از سطح وصله امنیتی 1 آگوست 2016 استفاده می‌کنند باید شامل تمام مشکلات مرتبط با آن سطح وصله امنیتی و همچنین رفع تمام مشکلات گزارش‌شده در بولتن‌های امنیتی قبلی باشند. دستگاه‌هایی که از سطح وصله امنیتی 1 آگوست 2016 استفاده می‌کنند، ممکن است شامل زیرمجموعه‌ای از اصلاحات مرتبط با سطح وصله امنیتی 5 آگوست 2016 نیز باشند.

3 . چگونه می توانم تشخیص دهم که کدام دستگاه های Nexus تحت تأثیر هر مشکلی هستند؟

در بخش‌های جزئیات آسیب‌پذیری امنیتی 01-08-2016 و 2016-08-05 ، هر جدول دارای یک ستون دستگاه‌های Nexus به‌روزرسانی‌شده است که محدوده دستگاه‌های Nexus آسیب‌دیده را که برای هر مشکل به‌روزرسانی می‌شوند را پوشش می‌دهد. این ستون چند گزینه دارد:

همه دستگاه‌های Nexus : اگر مشکلی بر همه دستگاه‌های Nexus تأثیر بگذارد، جدول «همه Nexus» را در ستون دستگاه‌های Nexus به‌روزشده خواهد داشت. «همه Nexus» دستگاه‌های پشتیبانی‌شده زیر را در بر می‌گیرد: Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 7 (2013)، Nexus 9، Android One، Nexus Player و Pixel C.
برخی از دستگاه‌های Nexus : اگر مشکلی بر همه دستگاه‌های Nexus تأثیر نگذارد، دستگاه‌های Nexus آسیب‌دیده در ستون دستگاه‌های Nexus به‌روزرسانی‌شده فهرست می‌شوند.
بدون دستگاه Nexus : اگر هیچ دستگاه Nexus تحت تأثیر این مشکل قرار نگیرد، جدول در ستون دستگاه‌های Nexus به‌روزرسانی شده «هیچ‌کدام» خواهد داشت.

4. ورودی های ستون مراجع به چه چیزی نگاشته می شوند؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. این پیشوندها به صورت زیر ترسیم می شوند:

پیشوند	ارجاع
آ-	شناسه باگ اندروید
QC-	شماره مرجع کوالکام
M-	شماره مرجع مدیاتک
N-	شماره مرجع NVIDIA

تجدید نظرها

1 اوت 2016: بولتن منتشر شد.
02 اوت 2016: بولتن برای شامل پیوندهای AOSP اصلاح شد.
16 اوت 2016: CVE-2016-3856 به CVE-2016-2060 تصحیح شد و URL مرجع به روز شد.
21 اکتبر 2016: اشتباه تایپی در CVE-2016-4486 تصحیح شد.