تم النشر في 03 أكتوبر 2016 | تم التحديث في 4 أكتوبر 2016
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال تحديث عن بعد (OTA). تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 05 أكتوبر 2016 أو ما بعده تتناول هذه المشكلات. راجع الوثائق لمعرفة كيفية التحقق من مستوى تصحيح الأمان. ستتلقى أجهزة Nexus المدعومة تحديث OTA واحد بمستوى تصحيح الأمان في 05 أكتوبر 2016.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 6 سبتمبر 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.
أخطر هذه المشكلات هي الثغرات الأمنية الحرجة في التعليمات البرمجية الخاصة بالجهاز والتي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد في سياق النواة ، مما يؤدي إلى احتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز . يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بشكل أسرع. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 2016-10-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-10-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- 2016-05-05 : استكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-10-01 و 2016-10-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- ستتلقى أجهزة Nexus المدعومة تحديث OTA واحد بمستوى تصحيح الأمان في 05 أكتوبر 2016.
عمليات التخفيف من خدمة Android و Google
هذا ملخص لعوامل التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
نود أن نشكر هؤلاء الباحثين على مساهماتهم:
- Andre Teixeira Rizzo: CVE-2016-3882
- أندريا بيوندو: CVE-2016-3921
- Daniel Micay من Copperhead Security: CVE-2016-3922
- Dmitry Vyukov من Google: CVE-2016-7117
- الجرعة: CVE-2016-3931
- Ecular Xu (徐健) من Trend Micro: CVE-2016-3920
- Gengjia Chen ( @ chengjia4574 ) و pjf of IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-6690، CVE-2016-3901، CVE-2016-6672، CVE-2016-3940، CVE-2016-3935
- Hang Zhang و Dongdong She و Zhiyun Qian من جامعة كاليفورنيا ريفرسايد: CVE-2015-8950
- Hao Chen من فريق Alpha ، Qihoo 360 Technology Co. Ltd: CVE-2016-3860
- Jann Horn of Google Project Zero: CVE-2016-3900، CVE-2016-3885
- جايسون روجينا : CVE-2016-3917
- Jianqiang Zhao ( jianqiangzhao ) و pjf من IceSword Lab، Qihoo 360: CVE-2016-6688، CVE-2016-6677، CVE-2016-6673، CVE-2016-6687، CVE-2016-6686، CVE-2016-6681 ، CVE-2016-6682، CVE-2016-3930
- جوشوا دريك ( jduck ): CVE-2016-3920
- Maciej Szawłowski من فريق أمان Google: CVE-2016-3905
- وضع علامة على العلامة التجارية لـ Google Project Zero: CVE-2016-6689
- Michał Bednarski : CVE-2016-3914، CVE-2016-6674، CVE-2016-3911، CVE-2016-3912
- Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-3933، CVE-2016-3932
- Nightwatch Cybersecurity Research ( nightwatchcyber ): CVE-2016-5348
- Roee Hay ، باحث IBM Security X-Force: CVE-2016-6678
- Samuel Tan من Google: CVE-2016-3925
- سكوت باور ( @ ScottyBauer1 ): CVE-2016-3936، CVE-2016-3928، CVE-2016-3902، CVE-2016-3937، CVE-2016-6696
- Seven Shen ( lingtongshen ) من فريق Trend Micro Mobile Threat Research Team: CVE-2016-6685، CVE-2016-6683، CVE-2016-6680، CVE-2016-6679، CVE-2016-3903، CVE-2016-6693، CVE-2016-6694 ، CVE-2016-6695
- Wenke Dou و Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-3909
- Wenlin Yang و Guang Gong (龚 广) ( oldfresher ) من فريق Alpha ، Qihoo 360 Technology Co. Ltd: CVE-2016-3918
- Wish Wu (吴 潍 浠) ( wish_wu) من Trend Micro Inc .: CVE-2016-3924، CVE-2016-3915، CVE-2016-3916، CVE-2016-3910
- Yong Shi من فريق Eagleye ، SCC ، Huawei: CVE-2016-3938
- Zhanpeng Zhao (行 之) ( @ 0xr0ot ) من مختبر أبحاث الأمان ، Cheetah Mobile : CVE-2016-3908
2016-10-01 مستوى تصحيح الأمان - تفاصيل الثغرة الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-10-01. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
رفع ضعف الامتياز في ServiceManager
يمكن أن يؤدي رفع الامتياز في ServiceManager إلى تمكين تطبيق ضار محلي من تسجيل الخدمات التعسفية التي يتم توفيرها عادةً من خلال عملية ذات امتياز ، مثل system_server. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لاحتمال انتحال هوية الخدمة.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3900 | A-29431260 [ 2 ] | عالٍ | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 15 يونيو 2016 |
رفع مستوى ضعف الامتياز في خدمة إعدادات القفل
قد يؤدي ارتفاع ثغرة الامتياز في خدمة إعدادات القفل إلى تمكين تطبيق ضار محلي من مسح رقم التعريف الشخصي للجهاز أو كلمة المرور. تم تصنيف هذه المشكلة على أنها عالية لأنها تجاوز محلي لمتطلبات تفاعل المستخدم لأي مطور أو تعديلات على إعدادات الأمان.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3908 | 30003944 أ | عالٍ | كل Nexus | 6.0 ، 6.0.1 ، 7.0 | 6 يوليو 2016 |
رفع مستوى ضعف الامتياز في Mediaserver
يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3909 | A-30033990 [ 2 ] | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 8 يوليو 2016 |
CVE-2016-3910 | أ -30148546 | عالٍ | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 13 يوليو 2016 |
CVE-2016-3913 | أ -30204103 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 18 يوليو 2016 |
ارتفاع ضعف الامتياز في عملية Zygote
يمكن أن يؤدي رفع الامتياز في عملية Zygote إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3911 | أ -30143607 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 12 يوليو 2016 |
رفع مستوى ضعف الامتياز في واجهات برمجة التطبيقات الخاصة بإطار العمل
يمكن أن يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة التطبيقات لإطار العمل إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3912 | أ -30202481 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 17 يوليو 2016 |
رفع مستوى ضعف الامتياز في الاتصالات الهاتفية
يمكن أن يؤدي ارتفاع ثغرة الامتياز في المكون الهتفي إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3914 | أ -30481342 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 28 يوليو 2016 |
ارتفاع ضعف الامتياز في خدمة الكاميرا
قد يؤدي ارتفاع ثغرة الامتياز في خدمة الكاميرا إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3915 | أ -30591838 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 1 أغسطس 2016 |
CVE-2016-3916 | أ -30741779 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 2 أغسطس 2016 |
زيادة ضعف الامتياز في تسجيل الدخول ببصمة الإصبع
قد يؤدي ارتفاع ثغرة أمنية أثناء تسجيل الدخول ببصمة الإصبع إلى تمكين مالك الجهاز الضار من تسجيل الدخول كحساب مستخدم مختلف على الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال تجاوز قفل الشاشة.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3917 | أ -30744668 | عالٍ | كل Nexus | 6.0.1 ، 7.0 | 5 أغسطس 2016 |
ثغرة الكشف عن المعلومات في بريد AOSP
قد تؤدي ثغرة الكشف عن المعلومات في بريد AOSP إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3918 | أ -30745403 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 5 أغسطس 2016 |
ضعف رفض الخدمة في شبكة Wi-Fi
قد يؤدي رفض ثغرة أمنية في خدمة Wi-Fi إلى تمكين مهاجم محلي قريب من إنشاء نقطة اتصال والتسبب في إعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3882 | أ -29464811 | عالٍ | كل Nexus | 6.0 ، 6.0.1 ، 7.0 | 17 من حزيران 2016 |
رفض الخدمة في نظام تحديد المواقع العالمي (GPS)
قد يؤدي رفض الخدمة في مكوّن GPS إلى تمكين مهاجم بعيد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-5348 | A-29555864 | عالٍ | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 20 يونيو 2016 |
ضعف رفض الخدمة في Mediaserver
قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3920 | أ -30744884 | عالٍ | كل Nexus | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 5 أغسطس 2016 |
رفع مستوى ضعف الامتياز في Framework Listener
يمكن أن يؤدي ارتفاع ثغرة الامتياز في Framework Listener إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3921 | أ -29831647 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 25 يونيو 2016 |
رفع مستوى ضعف الامتياز في الاتصالات الهاتفية
يمكن أن يؤدي ارتفاع ثغرة الامتياز في الهاتف إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3922 | أ -30202619 | معتدل | كل Nexus | 6.0 ، 6.0.1 ، 7.0 | 17 يوليو 2016 |
رفع مستوى ضعف الامتياز في خدمات إمكانية الوصول
قد يؤدي ارتفاع ثغرة الامتياز في خدمات إمكانية الوصول إلى تمكين تطبيق ضار محلي من إنشاء أحداث لمس غير متوقعة على الجهاز والتي قد تؤدي إلى قبول التطبيقات لمربعات حوار الأذونات بدون موافقة صريحة من المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي لمتطلبات تفاعل المستخدم التي تتطلب عادةً إما بدء المستخدم أو إذن المستخدم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3923 | أ -30647115 | معتدل | كل Nexus | 7.0 | جوجل الداخلية |
ضعف الكشف عن المعلومات في Mediaserver
قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3924 | أ -30204301 | معتدل | كل Nexus | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 18 يوليو 2016 |
ضعف رفض الخدمة في شبكة Wi-Fi
قد يؤدي رفض وجود ثغرة أمنية في خدمة Wi-Fi إلى تمكين تطبيق ضار محلي من منع الاتصال عبر Wi-Fi. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة لوظائف التطبيق.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
---|---|---|---|---|---|
CVE-2016-3925 | A-30230534 | معتدل | كل Nexus | 6.0 ، 6.0.1 ، 7.0 | جوجل الداخلية |
2016-10-05 مستوى تصحيح الأمان - تفاصيل الثغرة الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-10-05. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في وحدة فك ترميز kernel ASN.1
يمكن أن يؤدي ارتفاع ثغرة الامتياز في وحدة فك ترميز kernel ASN.1 إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE -2017758 | A-29814470 نواة المنبع | حرج | Nexus 5X و Nexus 6P | 12 مايو 2016 |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في النظام الفرعي لشبكات kernel
قد تمكن ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في النظام الفرعي لشبكة kernel مهاجمًا عن بُعد من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-7117 | A-30515201 نواة المنبع | حرج | كل Nexus | جوجل الداخلية |
ارتفاع ضعف الامتياز في برنامج تشغيل الفيديو MediaTek
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3928 | A-30019362 * M-ALPS02829384 | حرج | لا أحد | 6 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع ثغرة أمنية في برنامج تشغيل الذاكرة المشتركة kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الذاكرة المشتركة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-5340 | A-30652312 QC-CR # 1008948 | حرج | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Android One | 26 يوليو 2016 |
نقاط الضعف في مكونات Qualcomm
يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرات الأمان Qualcomm AMSS لشهر مارس 2016 و Qualcomm AMSS لشهر أبريل 2016.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3926 | A-28823953 * | حرج | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P | كوالكوم داخلي |
CVE-2016-3927 | A-28823244 * | حرج | Nexus 5X و Nexus 6P | كوالكوم داخلي |
CVE-2016-3929 | A-28823675 * | عالٍ | Nexus 5X و Nexus 6P | كوالكوم داخلي |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع مستوى ضعف الامتياز في مكون شبكة Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون شبكة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-2059 | A-27045580 QC-CR # 974577 | عالٍ | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Android One | 4 فبراير 2016 |
ارتفاع ثغرة أمنية في برنامج تشغيل اختبار NVIDIA MMC
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل اختبار NVIDIA MMC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3930 | A-28760138 * N-CVE-2016-3930 | عالٍ | نيكزس 9 | 12 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفع مستوى ضعف الامتياز في برنامج تشغيل Qualcomm QSEE Communicator
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm QSEE Communicator إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3931 | أ -29157595 QC-CR # 1036418 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One | 4 يونيو 2016 |
رفع مستوى ضعف الامتياز في Mediaserver
يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3932 | A-29161895 M-ALPS02770870 | عالٍ | لا أحد | 6 يونيو 2016 |
CVE-2016-3933 | A-29421408 * N-CVE-2016-3933 | عالٍ | Nexus 9 ، Pixel C | 14 يونيو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل كاميرا Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3903 | A-29513227 QC-CR # 1040857 | عالٍ | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Android One | 20 يونيو 2016 |
CVE-2016-3934 | أ -30102557 QC-CR # 789704 | عالٍ | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Android One | 12 يوليو 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل الصوت Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2015-8951 | أ -30142668 QC-CR # 948902 QC-CR # 948902 | عالٍ | Nexus 5X و Nexus 6P و Android One | 20 يونيو 2016 |
زيادة ضعف الامتياز في برنامج تشغيل محرك التشفير Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل محرك التشفير Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3901 | A-29999161 QC-CR # 1046434 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One | 6 يوليو 2016 |
CVE-2016-3935 | A-29999665 QC-CR # 1046507 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One | 6 يوليو 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل الفيديو MediaTek
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3936 | A-30019037 * M-ALPS02829568 | عالٍ | لا أحد | 6 يوليو 2016 |
CVE-2016-3937 | A-30030994 * M-ALPS02834874 | عالٍ | لا أحد | 7 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
زيادة ضعف الامتياز في برنامج تشغيل الفيديو Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3938 | A-30019716 QC-CR # 1049232 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One | 7 يوليو 2016 |
CVE-2016-3939 | أ -30874196 QC-CR # 1001224 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One | 15 أغسطس 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل شاشة اللمس Synaptics
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3940 | A-30141991 * | عالٍ | Nexus 6P ، Android One | 12 يوليو 2016 |
CVE-2016-6672 | A-30537088 * | عالٍ | جهاز Nexus 5X | 31 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل كاميرا NVIDIA
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6673 | A-30204201 * N-CVE-2016-6673 | عالٍ | نيكزس 9 | 17 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في خادم النظام
يمكن أن يؤدي ارتفاع ثغرة الامتياز في خادم النظام إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6674 | A-30445380 * | عالٍ | كل Nexus | 26 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3905 | أ -28061823 QC-CR # 1001449 | عالٍ | جهاز Nexus 5X | جوجل الداخلية |
CVE-2016-6675 | أ -30873776 QC-CR # 1000861 | عالٍ | Nexus 5X ، Android One | 15 أغسطس 2016 |
CVE-2016-6676 | أ -30874066 QC-CR # 1000853 | عالٍ | Nexus 5X ، Android One | 15 أغسطس 2016 |
CVE-2016-5342 | أ -30878283 QC-CR # 1032174 | عالٍ | Android One | 15 أغسطس 2016 |
ارتفاع ضعف الامتياز في النظام الفرعي لأداء kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2015-8955 | أ -29508816 نواة المنبع | عالٍ | Nexus 5X و Nexus 6P و Pixel C و Android One | جوجل الداخلية |
ثغرة الكشف عن المعلومات في النظام الفرعي kernel ION
قد تؤدي ثغرة الكشف عن المعلومات في النظام الفرعي لـ kernel ION إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2015-8950 | A-29795245 QC-CR # 1041735 | عالٍ | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P | 12 مايو 2016 |
ثغرة الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6677 | A-30259955 * N-CVE-2016-6677 | عالٍ | نيكزس 9 | 19 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل الأحرف Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الأحرف Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتيازات ، ولا يمكن الوصول إلى الكود الضعيف حاليًا.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2015-0572 | أ -29156684 QC-CR # 848489 | معتدل | Nexus 5X و Nexus 6P | 28 مايو 2016 |
ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-3860 | أ -29323142 QC-CR # 1038127 | معتدل | Nexus 5X و Nexus 6P و Android One | 13 يونيو 2016 |
ثغرة الكشف عن المعلومات في برنامج تشغيل Motorola USBNet
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل Motorola USBNet إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6678 | A-29914434 * | معتدل | نيكزس 6 | 30 يونيو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات Qualcomm
قد تؤدي ثغرة الكشف عن المعلومات في مكونات Qualcomm ، بما في ذلك برنامج تشغيل الصوت وبرنامج تشغيل IPA وبرنامج تشغيل Wi-Fi ، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6679 | أ -29915601 QC-CR # 1000913 [ 2 ] | معتدل | Nexus 5X ، Android One | 30 يونيو 2016 |
CVE-2016-3902 | A-29953313 * QC-CR # 1044072 | معتدل | Nexus 5X و Nexus 6P و | 2 يوليو 2016 |
CVE-2016-6680 | A-29982678 * QC-CR # 1048052 | معتدل | Nexus 5X ، Android One | 3 يوليو 2016 |
CVE-2016-6681 | أ -30152182 QC-CR # 1049521 | معتدل | Nexus 5X و Nexus 6P و Android One | 14 يوليو 2016 |
CVE-2016-6682 | أ -30152501 QC-CR # 1049615 | معتدل | Nexus 5X و Nexus 6P و Android One | 14 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات النواة
قد تؤدي ثغرة الكشف عن المعلومات في مكونات kernel ، بما في ذلك Binder و Sync و Bluetooth و Sound driver ، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6683 | A-30143283 * | معتدل | كل Nexus | 13 يوليو 2016 |
CVE-2016-6684 | A-30148243 * | معتدل | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Android One | 13 يوليو 2016 |
CVE-2015-8956 | A-30149612 * | معتدل | Nexus 5 و Nexus 6P و Android One | 14 يوليو 2016 |
CVE-2016-6685 | A-30402628 * | معتدل | Nexus 6P | 25 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج التعريف NVIDIA
قد تؤدي ثغرة الكشف عن المعلومات في ملف تعريف NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6686 | A-30163101 * N-CVE-2016-6686 | معتدل | نيكزس 9 | 15 يوليو 2016 |
CVE-2016-6687 | A-30162222 * N-CVE-2016-6687 | معتدل | نيكزس 9 | 15 يوليو 2016 |
CVE-2016-6688 | A-30593080 * N-CVE-2016-6688 | معتدل | نيكزس 9 | 2 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في النواة
قد تؤدي ثغرة الكشف عن المعلومات في Binder إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6689 | A-30768347 * | معتدل | كل Nexus | 9 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
رفض الخدمة في النظام الفرعي لشبكات kernel
قد يؤدي رفض وجود ثغرة أمنية في النظام الفرعي لشبكة kernel إلى تمكين المهاجم من حظر الوصول إلى اتصالات TCP والتسبب في رفض الخدمة مؤقتًا عن بُعد. تم تصنيف هذه المشكلة على أنها متوسطة لأن الخدمات الخلوية لا تزال متاحة ولا يزال الجهاز قابلاً للاستخدام.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-5696 | أ -30809774 نواة المنبع | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Nexus Player و Pixel C و Android One | 12 يوليو 2016 |
ثغرة أمنية لرفض الخدمة في برنامج تشغيل صوت kernel
قد يؤدي رفض الخدمة في النواة إلى السماح لتطبيق ضار محلي بالتسبب في إعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنها منخفضة لأنها تمثل رفضًا مؤقتًا للخدمة.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6690 | A-28838221 * | قليل | Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus Player | 18 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
نقاط الضعف في مكونات Qualcomm
يحتوي الجدول أدناه على قائمة بالثغرات الأمنية التي تؤثر على مكونات Qualcomm.
CVE | مراجع | خطورة | أجهزة Nexus المحدثة | ذكرت تاريخ |
---|---|---|---|---|
CVE-2016-6691 | QC-CR # 978452 | عالٍ | لا أحد | يوليو 2016 |
CVE-2016-6692 | QC-CR # 1004933 | عالٍ | لا أحد | أغسطس 2016 |
CVE-2016-6693 | QC-CR # 1027585 | عالٍ | لا أحد | أغسطس 2016 |
CVE-2016-6694 | QC-CR # 1033525 | عالٍ | لا أحد | أغسطس 2016 |
CVE-2016-6695 | QC-CR # 1033540 | عالٍ | لا أحد | أغسطس 2016 |
CVE-2016-6696 | QC-CR # 1041130 | عالٍ | لا أحد | أغسطس 2016 |
CVE-2016-5344 | QC-CR # 993650 | معتدل | لا أحد | أغسطس 2016 |
CVE-2016-5343 | QC-CR # 1010081 | معتدل | لا أحد | أغسطس 2016 |
أسئلة وأجوبة شائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟
مستويات تصحيح الأمان في 2016-10-01 أو الأحدث تعالج جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 2016-10-01. مستويات تصحيح الأمان في 2016-10-05 أو الأحدث تعالج جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 2016-10-05. ارجع إلى مركز المساعدة للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح إلى: [ro.build.version.security_patch]: [2016-10-01] أو [ro.build.version.security_patch]: [2016-10-05].
2. لماذا تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان؟
تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان بحيث يتمتع شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. يتم تشجيع شركاء Android على إصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث سلسلة من مستويات تصحيح الأمان.
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 أكتوبر 2016 أو أحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 أكتوبر 2016 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا ، بالإضافة إلى إصلاحات لجميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
3. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟
في قسم تفاصيل الثغرات الأمنية 2016-10-01 و 2016-10-05 ، يحتوي كل جدول على عمود محدث لأجهزة Nexus يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus ، فسيحتوي الجدول على "جميع أجهزة Nexus" في عمود أجهزة Nexus المحدثة . يشمل "All Nexus" الأجهزة المدعومة التالية: Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel C.
- Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
- No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.
4. What do the entries in the references column map to?
قد تحتوي الإدخالات الموجودة ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. These prefixes map as follows:
بادئة | المرجعي |
---|---|
أ- | معرف خطأ Android |
QC- | الرقم المرجعي لشركة Qualcomm |
م- | الرقم المرجعي MediaTek |
ن- | الرقم المرجعي لـ NVIDIA |
ب- | الرقم المرجعي من Broadcom |
التنقيحات
- October 03, 2016: Bulletin published.
- October 04, 2016: Bulletin revised to include AOSP links and update attributions for CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695, and CVE-2016-6696.