نشرة أمان Android - سبتمبر 2016

تنظيم صفحاتك في مجموعات يمكنك حفظ المحتوى وتصنيفه حسب إعداداتك المفضّلة.
الخصم

تم النشر في 06 سبتمبر 2016 | تم التحديث في 12 سبتمبر 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال تحديث عن بعد (OTA). تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 06 سبتمبر 2016 أو ما بعده تعالج هذه المشكلات. راجع الوثائق لمعرفة كيفية التحقق من مستوى تصحيح الأمان. ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر OTA بمستوى تصحيح الأمان في 06 سبتمبر 2016.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 5 أغسطس 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.

إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات تخفيف النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على ثلاث سلاسل على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 2016-09-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-09-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 2016-09-05 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-09-01 و 2016-09-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 2016-09-06 : سلسلة مستوى تصحيح الأمان الكاملة ، والتي تتناول المشكلات التي تم اكتشافها بعد إخطار الشركاء بمعظم المشكلات في هذه النشرة. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-09-01 و 2016-09-05 و 2016-09-06 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
  • ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر OTA بمستوى تصحيح الأمان في 06 سبتمبر 2016.

عمليات التخفيف من خدمة Android و Google

هذا ملخص لعوامل التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • كوري بروس من جامعة كارنيجي ميلون: CVE-2016-3897
  • Gengjia Chen ( @ chengjia4574 ) و pjf of IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3869، CVE-2016-3865، CVE-2016-3866، CVE-2016-3867
  • Hao Qin of Security Research Lab ، Cheetah Mobile : CVE-2016-3863
  • Jann Horn من Google Project Zero: CVE-2016-3885
  • Jianqiang Zhao ( jianqiangzhao ) و pjf من IceSword Lab ، Qihoo 360: CVE-2016-3858
  • جوشوا دريك ( jduck ): CVE-2016-3861
  • Madhu Priya Murugan من CISPA ، جامعة سارلاند: CVE-2016-3896
  • Makoto Onuki من Google: CVE-2016-3876
  • وضع علامة على العلامة التجارية لـ Google Project Zero: CVE-2016-3861
  • Max Spector of Android Security: CVE-2016-3888
  • Max Spector و Quan To من Android Security: CVE-2016-3889
  • Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-3895
  • ناثان كراندال ( natecray ) من فريق أمان منتجات Tesla Motors: اكتشاف مشكلات إضافية متعلقة بـ CVE-2016-2446
  • Oleksiy Vyalov من Google: CVE-2016-3890
  • Oliver Chang من فريق Google Chrome Security Team: CVE-2016-3880
  • Peng Xiao و Chengming Yang و Ning You و Chao Yang و Yang song من Alibaba Mobile Security Group: CVE-2016-3859
  • رونالد إل لور فارغاس ( loor_rlv ) من TEAM Lv51: CVE-2016-3886
  • Sagi Kedmi ، باحث IBM Security X-Force: CVE-2016-3873
  • سكوت باور ( @ ScottyBauer1 ): CVE-2016-3893 ، CVE-2016-3868 ، CVE-2016-3867
  • Seven Shen ( lingtongshen ) من TrendMicro: CVE-2016-3894
  • تيم Strazzere ( timstrazz ) من SentinelOne / RedNaga: CVE-2016-3862
  • trotmaster ( @ trotmaster99 ): CVE-2016-3883
  • فيكتور تشانغ من Google: CVE-2016-3887
  • Vignesh Venkatasubramanian من Google: CVE-2016-3881
  • Weichao Sun ( sunblate ) من Alibaba Inc: CVE-2016-3878
  • Wenke Dou و Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-3870، CVE-2016-3871، CVE-2016-3872
  • Wish Wu (吴 潍 浠) ( wish_wu ) من Trend Micro Inc .: CVE-2016-3892
  • Xingyu He (何星宇) ( @ Spid3r_ ) من Alibaba Inc : CVE-2016-3879
  • Yacong Gu من TCA Lab ، معهد البرمجيات ، الأكاديمية الصينية للعلوم: CVE-2016-3884
  • يورو شاو من جامعة ميشيغان آن أربور: CVE-2016-3898

2016-09-01 مستوى تصحيح الأمان - تفاصيل الثغرة الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-09-01. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في LibUtils

قد تؤدي الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد في LibUtils إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في التطبيقات التي تستخدم هذه المكتبة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3861 A-29250543 [ 2 ] [ 3 ] [ 4 ] حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 9 يونيو 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3862 A-29270469 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 10 من حزيران 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في MediaMuxer

قد تؤدي الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد في MediaMuxer إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم MediaMuxer.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3863 أ -29161888 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 6 يونيو 2016

رفع مستوى ضعف الامتياز في Mediaserver

يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3870 أ -29421804 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 15 يونيو 2016
CVE-2016-3871 A-29422022 [ 2 ] [ 3 ] عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 15 يونيو 2016
CVE-2016-3872 A-29421675 [ 2 ] عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 15 يونيو 2016

ارتفاع ضعف الامتياز في تمهيد الجهاز

قد يؤدي رفع الامتياز أثناء تسلسل التمهيد إلى تمكين مهاجم ضار محلي من التمهيد في الوضع الآمن على الرغم من تعطيله. تم تصنيف هذه المشكلة على أنها عالية لأنها تجاوز محلي لمتطلبات تفاعل المستخدم لأي مطور أو تعديلات على إعدادات الأمان.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3875 أ -26251884 عالٍ لا أحد* 6.0 ، 6.0.1 جوجل الداخلية

* لا تتأثر أجهزة Nexus المدعومة على Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

رفع مستوى ضعف الامتياز في الإعدادات

قد يؤدي رفع الامتياز في الإعدادات إلى تمكين مهاجم ضار محلي من التمهيد في الوضع الآمن على الرغم من تعطيله. تم تصنيف هذه المشكلة على أنها عالية لأنها تجاوز محلي لمتطلبات تفاعل المستخدم لأي مطور أو تعديلات على إعدادات الأمان.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3876 A-29900345 عالٍ كل Nexus 6.0 ، 6.0.1 ، 7.0 جوجل الداخلية

ضعف رفض الخدمة في Mediaserver

قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3899 أ -29421811 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 16 يونيو 2016
CVE-2016-3878 أ -29493002 عالٍ كل Nexus * 6.0 ، 6.0.1 17 من حزيران 2016
CVE-2016-3879 A-29770686 عالٍ كل Nexus * 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 25 يونيو 2016
CVE-2016-3880 A-25747670 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 جوجل الداخلية
CVE-2016-3881 أ -30013856 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 جوجل الداخلية

* لا تتأثر أجهزة Nexus المدعومة على Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

رفع مستوى ضعف الامتياز في الاتصالات الهاتفية

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون الهاتف إلى تمكين تطبيق ضار محلي من إرسال رسائل SMS مميزة غير مصرح بها. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها لاكتساب قدرات عالية بدون إذن صريح من المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3883 أ -28557603 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 3 مايو 2016

رفع ثغرة أمنية في الامتياز في خدمة مدير الإشعارات

قد يؤدي ارتفاع ثغرة الامتياز في خدمة مدير الإشعارات إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي لمتطلبات تفاعل المستخدم ، مثل الوصول إلى الوظائف التي تتطلب عادةً إما بدء المستخدم أو إذن المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3884 أ -29421441 معتدل كل Nexus 6.0 ، 6.0.1 ، 7.0 15 يونيو 2016

رفع مستوى ضعف الامتياز في Debuggerd

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مصحح أخطاء Android المتكامل إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق مصحح أخطاء Android. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة نظرًا لاحتمال تنفيذ رمز تعسفي محلي في عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3885 أ -29555636 معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 21 من حزيران 2016

ارتفاع ثغرة أمنية في الامتياز في System UI Tuner

قد يؤدي رفع الامتياز في System UI Tuner إلى تمكين مستخدم ضار محلي من تعديل الإعدادات المحمية عند قفل الجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي لأذونات المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3886 أ -30107438 معتدل كل Nexus 7.0 23 يونيو 2016

رفع مستوى ضعف الامتياز في الإعدادات

قد يؤدي ارتفاع ثغرة أمنية في الامتيازات في الإعدادات إلى تمكين تطبيق ضار محلي من تجاوز حماية نظام التشغيل لإعدادات VPN. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الموجودة خارج مستويات أذونات التطبيق.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3887 A-29899712 معتدل كل Nexus 7.0 جوجل الداخلية

زيادة ضعف الامتياز في الرسائل القصيرة

يمكن أن يؤدي ارتفاع ثغرة الامتياز في الرسائل القصيرة إلى تمكين المهاجم المحلي من إرسال رسائل SMS مميزة قبل توفير الجهاز. تم تصنيف هذا على أنه متوسط ​​نظرًا لإمكانية تجاوز حماية إعادة ضبط المصنع ، والتي يجب أن تمنع استخدام الجهاز قبل إعداده.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3888 A-29420123 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 جوجل الداخلية

رفع مستوى ضعف الامتياز في الإعدادات

قد يؤدي ارتفاع ثغرة أمنية في الامتيازات في الإعدادات إلى تمكين مهاجم محلي من تجاوز حماية إعادة تعيين إعدادات المصنع والوصول إلى الجهاز. تم تصنيف هذا على أنه متوسط ​​نظرًا لإمكانية تجاوز حماية إعادة ضبط المصنع ، مما قد يؤدي إلى إعادة ضبط الجهاز بنجاح ومسح جميع بياناته.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3889 A-29194585 [ 2 ] معتدل كل Nexus 6.0 ، 6.0.1 ، 7.0 جوجل الداخلية

ارتفاع ثغرة الامتياز في Java Debug Wire Protocol

يمكن أن يؤدي ارتفاع ثغرة الامتياز في Java Debug Wire Protocol إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب تكوين جهاز غير شائع.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3890 A-28347842 [ 2 ] معتدل لا أحد* 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

* لا تتأثر أجهزة Nexus المدعومة على Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

ضعف الكشف عن المعلومات في Mediaserver

قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3895 A-29983260 معتدل كل Nexus 6.0 ، 6.0.1 ، 7.0 4 يوليو 2016

ثغرة الكشف عن المعلومات في بريد AOSP

قد تؤدي ثغرة الكشف عن المعلومات في بريد AOSP إلى تمكين تطبيق ضار محلي من الوصول إلى معلومات المستخدم الخاصة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات بشكل غير صحيح دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3896 أ -29767043 معتدل لا أحد* 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 24 يوليو 2016

* لا تتأثر أجهزة Nexus المدعومة على Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

ثغرة الكشف عن المعلومات في شبكة Wi-Fi

قد تسمح ثغرة الكشف عن المعلومات في تكوين Wi-Fi للتطبيق بالوصول إلى معلومات حساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3897 A-25624963 [ 2 ] معتدل لا أحد* 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 5 نوفمبر 2015

* لا تتأثر أجهزة Nexus المدعومة على Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.

ضعف رفض الخدمة في الهتفية

قد يؤدي رفض الخدمة في مكون الهتفية إلى تمكين تطبيق ضار محلي لمنع مكالمات 911 TTY من شاشة مقفلة. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة في وظيفة حرجة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3898 A-29832693 معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 28 يونيو 2016

2016-09-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-09-05. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

رفع مستوى ضعف الامتياز في النظام الفرعي لأمان kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2014-9529 أ -29510361

نواة المنبع

حرج Nexus 5 و Nexus 6 و Nexus 9 و Nexus Player و Android One 6 يناير 2015
CVE-2016-4470 أ -29823941

نواة المنبع

حرج Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player 15 يونيو 2016

ارتفاع ضعف الامتياز في النظام الفرعي لشبكات kernel

قد يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لشبكات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2013-7446 A-29119002

نواة المنبع

حرج Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Pixel C و Android One 18 نوفمبر 2015

ارتفاع ضعف الامتياز في النظام الفرعي netfilter kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي netfilter kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3134 A-28940694

نواة المنبع

حرج Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Pixel C و Android One 9 مارس 2016

ارتفاع ثغرة أمنية في برنامج تشغيل kernel USB

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل kernel USB إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3951 أ -28744625

نواة المنبع [ 2 ]

حرج Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Pixel C و Android One 6 أبريل 2016

ارتفاع ضعف الامتياز في النظام الفرعي لصوت kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لصوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2014-4655 A-29916012

نواة المنبع

عالٍ Nexus 5 و Nexus 6 و Nexus 9 و Nexus Player 26 يونيو 2014

ارتفاع ضعف الامتياز في وحدة فك ترميز kernel ASN.1

يمكن أن يؤدي ارتفاع ثغرة الامتياز في وحدة فك ترميز kernel ASN.1 إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2053 أ -28751627

نواة المنبع

عالٍ Nexus 5X و Nexus 6P 25 يناير 2016

ارتفاع ضعف الامتياز في طبقة واجهة راديو Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في طبقة واجهة راديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3864 A-28823714 *
QC-CR # 913117
عالٍ Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Android One 29 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتياز في برنامج تشغيل النظام الفرعي Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل النظام الفرعي Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3858 أ -28675151
QC-CR # 1022641
عالٍ Nexus 5X و Nexus 6P 9 مايو 2016

رفع مستوى ضعف الامتياز في برنامج تشغيل شبكات kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل شبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-4805 أ -28979703

نواة المنبع

عالٍ Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 15 مايو 2016

ارتفاع ضعف الامتياز في برنامج تشغيل شاشة اللمس Synaptics

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3865 A-28799389 * عالٍ Nexus 5X و Nexus 9 16 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل كاميرا Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3859 A-28815326 *
QC-CR # 1034641
عالٍ Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P 17 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل الصوت Qualcomm

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3866 A-28868303 *
QC-CR # 1032820
عالٍ Nexus 5X و Nexus 6 و Nexus 6P 18 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

زيادة ضعف الامتياز في برنامج تشغيل Qualcomm IPA

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm IPA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3867 A-28919863 *
QC-CR # 1037897
عالٍ Nexus 5X و Nexus 6P 21 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

زيادة ضعف الامتياز في محرك طاقة Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في محرك طاقة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3868 A-28967028 *
QC-CR # 1032875
عالٍ Nexus 5X و Nexus 6P 25 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل Broadcom Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3869 A-29009982 *
B-RB # 96070
عالٍ Nexus 5 و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Pixel C 27 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في نظام ملفات kernel eCryptfs

يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel eCryptfs إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-1583 أ -29444228
نواة المنبع
عالٍ بكسل سي 1 يونيو 2016

ارتفاع ضعف الامتياز في NVIDIA kernel

قد يؤدي ارتفاع ثغرة الامتياز في نواة NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3873 A-29518457 *
N-CVE-2016-3873
عالٍ نيكزس 9 20 يونيو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3874 أ -29944562
QC-CR # 997797 [ 2 ]
عالٍ جهاز Nexus 5X 1 يوليو 2016

رفض الخدمة في النظام الفرعي لشبكات kernel

قد يؤدي رفض وجود ثغرة أمنية في النظام الفرعي لشبكة kernel إلى تمكين المهاجم من التسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2015-1465 أ -29506807

نواة المنبع

عالٍ Nexus 5 و Nexus 6 و Nexus 9 و Nexus Player و Pixel C و Android One 3 فبراير 2015
CVE-2015-5364 أ -29507402

نواة المنبع

عالٍ Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Pixel C و Android One 30 يونيو 2015

ثغرة أمنية لرفض الخدمة في نظام ملفات kernel ext4

قد يؤدي رفض ثغرة أمنية في نظام ملفات kernel ext4 إلى تمكين المهاجم من التسبب في رفض محلي دائم للخدمة ، الأمر الذي قد يتطلب إعادة تحميل ملفات نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة المحلي الدائم.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2015-8839 A-28760453 * عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Pixel C و Android One 4 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm SPMI

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل Qualcomm SPMI إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3892 A-28760543 *
QC-CR # 1024197
معتدل Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P 13 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ثغرة الكشف عن المعلومات في برنامج ترميز الصوت Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج ترميز الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3893 A-29512527
QC-CR # 856400
معتدل Nexus 6P 20 يونيو 2016

ثغرة الكشف عن المعلومات في مكون Qualcomm DMA

قد تؤدي ثغرة الكشف عن المعلومات في مكون Qualcomm DMA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3894 A-29618014 *
QC-CR # 1042033
معتدل نيكزس 6 23 يونيو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ثغرة الكشف عن المعلومات في النظام الفرعي لشبكات kernel

قد تؤدي ثغرة الكشف عن المعلومات في النظام الفرعي لشبكات kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-4998 أ -29637687
نواة المنبع [ 2 ]
معتدل Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Pixel C و Android One 24 يونيو 2016

رفض الخدمة في النظام الفرعي لشبكات kernel

قد يؤدي رفض وجود ثغرة أمنية في النظام الفرعي لشبكات kernel إلى تمكين المهاجم من حظر الوصول إلى إمكانات Wi-Fi ، وقد تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض خدمة قدرات Wi-Fi مؤقتًا عن بُعد.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2015-2922 A-29409847

نواة المنبع

معتدل Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Pixel C و Android One 4 أبريل 2015

نقاط الضعف في مكونات Qualcomm

يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ، بما في ذلك محمل الإقلاع ، وبرنامج تشغيل الكاميرا ، وبرنامج تشغيل الشخصية ، والشبكات ، وبرنامج تشغيل الصوت ، وبرنامج تشغيل الفيديو.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2469 QC-CR # 997025 عالٍ لا أحد يونيو 2016
CVE-2016-2469 QC-CR # 997015 معتدل لا أحد يونيو 2016

2016-09-06 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-09-06. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

ارتفاع ضعف الامتياز في النظام الفرعي للذاكرة المشتركة kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي للذاكرة المشتركة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-5340 A-30652312
QC-CR # 1008948
حرج Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Android One 26 يوليو 2016

رفع مستوى ضعف الامتياز في مكون شبكة Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون شبكة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2059 A-27045580
QC-CR # 974577
عالٍ Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Android One 4 فبراير 2016

أسئلة وأجوبة شائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟

مستويات تصحيح الأمان في 2016-09-01 أو الأحدث تعالج جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 2016-09-01. مستويات تصحيح الأمان في 2016-09-05 أو ما بعده تعالج جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 2016-09-05. مستويات تصحيح الأمان في 2016-09-06 أو الأحدث تعالج جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 2016-09-06. ارجع إلى مركز المساعدة للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح إلى: [ro.build.version.security_patch]: [2016-09-01] ، [ro.build.version.security_patch]: [2016-09-05] ، أو [ro.build.version.security_patch]: [2016/09/06].

2. لماذا تحتوي هذه النشرة على ثلاث سلاسل على مستوى تصحيح الأمان؟

تحتوي هذه النشرة على ثلاث سلاسل على مستوى تصحيح الأمان بحيث يتمتع شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the September 6, 2016 security patch level or newer must include all applicable patches in this (and previous) security bulletins. This patch level was created to addresses issues that were discovered after partners were first notified of most issues in this bulletin.

Devices that use September 5, 2016 security patch level must include all issues associated with that security patch level, the September 1, 2016 security patch level and fixes for all issues reported in previous security bulletins. Devices that use the September 5, 2016 security patch level may also include a subset of fixes associated with the September 6, 2016 security patch level.

Devices that use September 1, 2016 security patch level must include all issues associated with that security patch level as well as fixes for all issues reported in previous security bulletins. Devices that use the September 1, 2016 security patch level may also include a subset of fixes associated with the September 5, 2016 and September 6, 2016 security patch levels.

3 . How do I determine which Nexus devices are affected by each issue?

In the 2016-09-01 , 2016-09-05 , and 2016-09-06 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

قد تحتوي الإدخالات الموجودة ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. These prefixes map as follows:

بادئة المرجعي
أ- معرف خطأ Android
QC- الرقم المرجعي لشركة Qualcomm
م- الرقم المرجعي MediaTek
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من Broadcom

التنقيحات

  • September 06, 2016: Bulletin published.
  • September 07, 2016: Bulletin revised to include AOSP links.
  • September 12, 2016: Bulletin revised to update attribution for CVE-2016-3861 and remove CVE-2016-3877.