بولتن امنیتی اندروید - اکتبر 2016

منتشر شده در 12 مهر 1395 | به روز شده در 04 اکتبر 2016

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار Nexus نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 اکتبر 2016 یا بعد از آن به این مسائل می پردازد. برای یادگیری نحوه بررسی سطح وصله امنیتی به مستندات مراجعه کنید. دستگاه‌های Nexus پشتیبانی‌شده یک به‌روزرسانی OTA با سطح وصله امنیتی 05 اکتبر 2016 دریافت خواهند کرد.

در تاریخ 6 سپتامبر 2016 یا قبل از آن، شرکا در مورد مسائل توضیح داده شده در بولتن مطلع شدند. در صورت لزوم، وصله‌های کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات، آسیب‌پذیری‌های امنیتی حیاتی در کدهای خاص دستگاه است که می‌تواند اجرای کد از راه دور را در چارچوب هسته فعال کند، که منجر به احتمال به خطر افتادن دستگاه دائمی محلی می‌شود، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد. . ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت های پلتفرم امنیتی اندروید و محافظت های خدماتی مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

  • این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌ها را که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/10/2016 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/10/2016 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
    • 05/10/2016 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2016-10-01 و 2016-10-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
  • دستگاه‌های Nexus پشتیبانی‌شده یک به‌روزرسانی OTA با سطح وصله امنیتی 05 اکتبر 2016 دریافت خواهند کرد.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه‌شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به‌طور فعال نظارت بر سوء استفاده می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به‌ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • آندره تکسیرا ریزو: CVE-2016-3882
  • آندریا بیوندو: CVE-2016-3921
  • دانیل میکای از Copperhead Security: CVE-2016-3922
  • دیمیتری ویوکوف از گوگل: CVE-2016-7117
  • دوسومدر: CVE-2016-3931
  • Ecular Xu (徐健) از Trend Micro: CVE-2016-3920
  • Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-3940, CVE-2016-6690
  • هانگ ژانگ ، دانگدونگ شی ، و ژیون کیان از UC Riverside: CVE-2015-8950
  • Hao Chen از تیم آلفا، Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
  • Jann Horn of Google Project Zero: CVE-2016-3900, CVE-2016-3885
  • جیسون روگنا : CVE-2016-3917
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf آزمایشگاه IceSword، Qihoo 360: CVE-2016-6688، CVE-2016-6677، CVE-2016-6673، CVE-2016-6687، CVE-2016-6687، CVE-6266، CVE-2016-6686، ، CVE-2016-6682، CVE-2016-3930
  • جاشوا دریک ( @jduck ): CVE-2016-3920
  • Maciej Szawłowski از تیم امنیتی گوگل: CVE-2016-3905
  • علامت تجاری Google Project Zero: CVE-2016-6689
  • میخال بدنارسکی : CVE-2016-3914، CVE-2016-6674، CVE-2016-3911، CVE-2016-3912
  • Mingjian Zhou ( @Mingjian_Zhou )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-3933، CVE-2016-3932
  • تحقیقات امنیت سایبری Nightwatch ( @nightwatchcyber ): CVE-2016-5348
  • Roee Hay، محقق IBM Security X-Force: CVE-2016-6678
  • ساموئل تان از گوگل: CVE-2016-3925
  • اسکات بائر ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
  • Seven Shen ( @lingtongshen ) از تیم تحقیقاتی Trend Micro Mobile Threat: CVE-2016-6685، CVE-2016-6683، CVE-2016-6680، CVE-2016-6679، CVE-2016-3903، CVE-2016-6683، CVE-2016-6694، CVE-2016-6695
  • Wenke Dou ، Mingjian Zhou ( @Mingjian_Zhou )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-3909
  • ونلین یانگ و گوانگ گونگ (龚广) ( @oldfresher ) از تیم آلفا، Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
  • Wish Wu (吴潍浠) ( @wish_wu) Trend Micro Inc .: CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
  • یونگ شی از تیم Eagleye، SCC، Huawei: CVE-2016-3938
  • Zhanpeng Zhao (行之) ( @0xr0ot ) از آزمایشگاه تحقیقات امنیتی، Cheetah Mobile : CVE-2016-3908

سطح وصله امنیتی 01/10/2016—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-10-2016 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های Nexus به‌روزرسانی‌شده، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم)، و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

افزایش آسیب پذیری امتیاز در ServiceManager

افزایش امتیاز در ServiceManager می‌تواند یک برنامه مخرب محلی را قادر سازد تا سرویس‌های دلخواه را که معمولاً توسط یک فرآیند ممتاز مانند system_server ارائه می‌شوند، ثبت کند. این موضوع به دلیل امکان جعل سرویس به عنوان شدت بالا رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3900 A-29431260 [ 2 ] بالا همه Nexus 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 15 ژوئن 2016

افزایش آسیب پذیری امتیاز در سرویس تنظیمات قفل

افزایش آسیب‌پذیری امتیاز در سرویس تنظیمات قفل می‌تواند یک برنامه مخرب محلی را قادر سازد تا پین یا رمز عبور دستگاه را پاک کند. این مشکل به‌عنوان High رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از الزامات تعامل کاربر برای هر برنامه‌نویس یا تغییر تنظیمات امنیتی است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3908 A-30003944 بالا همه Nexus 6.0، 6.0.1، 7.0 6 جولای 2016

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3909 A-30033990 [ 2 ] بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 8 جولای 2016
CVE-2016-3910 الف-30148546 بالا همه Nexus 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 13 جولای 2016
CVE-2016-3913 A-30204103 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 18 جولای 2016

افزایش آسیب پذیری امتیاز در فرآیند Zygote

افزایش امتیاز در فرآیند Zygote می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3911 الف-30143607 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 12 جولای 2016

افزایش آسیب پذیری امتیاز در API های چارچوب

افزایش آسیب‌پذیری امتیاز در APIهای چارچوب می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3912 A-30202481 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 17 جولای 2016

افزایش آسیب پذیری امتیازات در تلفن

افزایش آسیب پذیری امتیاز در مؤلفه Telephony می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3914 الف-30481342 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 28 ژوئیه 2016

افزایش آسیب پذیری امتیاز در سرویس دوربین

افزایش آسیب پذیری امتیاز در سرویس دوربین می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3915 A-30591838 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 1 اوت 2016
CVE-2016-3916 الف-30741779 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 2 اوت 2016

افزایش آسیب پذیری امتیاز در ورود به سیستم اثر انگشت

افزایش آسیب‌پذیری امتیاز در هنگام ورود با اثر انگشت می‌تواند صاحب دستگاه مخرب را قادر سازد تا به عنوان یک حساب کاربری متفاوت در دستگاه وارد شود. این موضوع به دلیل امکان دور زدن صفحه قفل به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3917 الف-30744668 بالا همه Nexus 6.0.1، 7.0 5 اوت 2016

آسیب پذیری افشای اطلاعات در AOSP Mail

یک آسیب‌پذیری افشای اطلاعات در AOSP Mail می‌تواند یک برنامه مخرب محلی را قادر به دور زدن حفاظت‌های سیستم عاملی کند که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده ها بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3918 الف-30745403 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 5 اوت 2016

آسیب پذیری انکار سرویس در وای فای

آسیب پذیری انکار سرویس در وای فای می تواند یک مهاجم نزدیک محلی را قادر به ایجاد یک هات اسپات و راه اندازی مجدد دستگاه کند. این موضوع به دلیل امکان انکار موقت سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3882 الف-29464811 بالا همه Nexus 6.0، 6.0.1، 7.0 17 ژوئن 2016

آسیب پذیری انکار سرویس در GPS

آسیب‌پذیری انکار سرویس در مؤلفه GPS می‌تواند یک مهاجم از راه دور را قادر سازد تا دستگاه را قطع یا راه‌اندازی مجدد کند. این موضوع به دلیل امکان انکار موقت سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-5348 الف-29555864 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 20 ژوئن 2016

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3920 الف-30744884 بالا همه Nexus 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 5 اوت 2016

افزایش آسیب پذیری امتیاز در Framework Listener

افزایش آسیب پذیری امتیاز در Framework Listener می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3921 الف-29831647 در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 25 ژوئن 2016

افزایش آسیب پذیری امتیازات در تلفن

افزایش آسیب پذیری امتیاز در Telephony می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3922 A-30202619 در حد متوسط همه Nexus 6.0، 6.0.1، 7.0 17 جولای 2016

افزایش آسیب پذیری امتیاز در خدمات دسترسی

افزایش آسیب‌پذیری امتیاز در سرویس‌های دسترس‌پذیری می‌تواند یک برنامه مخرب محلی را قادر سازد تا رویدادهای لمسی غیرمنتظره‌ای را در دستگاه ایجاد کند که می‌تواند منجر به پذیرش برنامه‌های گفتگوی مجوز بدون رضایت صریح کاربر شود. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از الزامات تعامل کاربر است که معمولاً به شروع کاربر یا اجازه کاربر نیاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3923 الف-30647115 در حد متوسط همه Nexus 7.0 گوگل داخلی

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3924 الف-30204301 در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 18 جولای 2016

آسیب پذیری انکار سرویس در وای فای

آسیب پذیری انکار سرویس در سرویس Wi-Fi می تواند یک برنامه مخرب محلی را قادر به جلوگیری از تماس Wi-Fi کند. این موضوع به دلیل امکان انکار سرویس به عملکرد برنامه، به عنوان متوسط ​​رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3925 الف-30230534 در حد متوسط همه Nexus 6.0، 6.0.1، 7.0 گوگل داخلی

سطح وصله امنیتی 05/10/2016—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 2016-10-05 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های Nexus به‌روزرسانی‌شده، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم)، و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در رمزگشای هسته ASN.1

افزایش آسیب پذیری امتیاز در رمزگشای هسته ASN.1 می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-0758 الف-29814470
هسته بالادست
بحرانی Nexus 5X، Nexus 6P 12 مه 2016

آسیب پذیری اجرای کد از راه دور در زیرسیستم شبکه هسته

یک آسیب پذیری اجرای کد از راه دور در زیرسیستم شبکه هسته می تواند یک مهاجم راه دور را قادر سازد تا کد دلخواه را در بافت هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-7117 الف-30515201
هسته بالادست
بحرانی همه Nexus گوگل داخلی

افزایش آسیب پذیری امتیاز در درایور ویدیوی مدیاتک

افزایش آسیب پذیری امتیاز در درایور ویدیوی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3928 A-30019362*
M-ALPS02829384
بحرانی هیچ یک 6 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور حافظه مشترک هسته

افزایش آسیب پذیری امتیاز در درایور حافظه مشترک هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-5340 الف-30652312
QC-CR#1008948
بحرانی Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Android One 26 جولای 2016

آسیب پذیری در اجزای کوالکام

جدول زیر حاوی آسیب‌پذیری‌های امنیتی است که بر اجزای کوالکام تأثیر می‌گذارد و با جزئیات بیشتر در بولتن‌های امنیتی Qualcomm AMSS مارس 2016 و Qualcomm AMSS آوریل 2016 توضیح داده شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3926 A-28823953* بحرانی Nexus 5، Nexus 5X، Nexus 6، Nexus 6P کوالکام داخلی
CVE-2016-3927 A-28823244* بحرانی Nexus 5X، Nexus 6P کوالکام داخلی
CVE-2016-3929 A-28823675* بالا Nexus 5X، Nexus 6P کوالکام داخلی

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در مؤلفه شبکه کوالکام

افزایش آسیب پذیری امتیاز در مؤلفه شبکه کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-2059 الف-27045580
QC-CR#974577
بالا Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Android One 4 فوریه 2016

افزایش آسیب پذیری امتیاز در درایور تست NVIDIA MMC

افزایش آسیب پذیری امتیاز در درایور تست NVIDIA MMC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3930 A-28760138*
N-CVE-2016-3930
بالا Nexus 9 12 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور Qualcomm QSEE Communicator

افزایش آسیب‌پذیری امتیاز در درایور Qualcomm QSEE Communicator می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3931 الف-29157595
QC-CR#1036418
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One 4 ژوئن 2016

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3932 الف-29161895
M-ALPS02770870
بالا هیچ یک 6 ژوئن 2016
CVE-2016-3933 الف-29421408*
N-CVE-2016-3933
بالا Nexus 9، Pixel C 14 ژوئن 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام

افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3903 الف-29513227
QC-CR#1040857
بالا Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Android One 20 ژوئن 2016
CVE-2016-3934 الف-30102557
QC-CR#789704
بالا Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Android One 12 جولای 2016

افزایش آسیب پذیری امتیاز در درایور صدای کوالکام

افزایش آسیب پذیری امتیاز در درایور صدای Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2015-8951 الف-30142668
QC-CR#948902
QC-CR#948902
بالا Nexus 5X، Nexus 6P، Android One 20 ژوئن 2016

افزایش آسیب پذیری امتیاز در درایور موتور کریپتو کوالکام

افزایش آسیب پذیری امتیاز در درایور موتور رمزنگاری کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3901 الف-29999161
QC-CR#1046434
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One 6 جولای 2016
CVE-2016-3935 الف-29999665
QC-CR#1046507
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One 6 جولای 2016

افزایش آسیب پذیری امتیاز در درایور ویدیوی مدیاتک

افزایش آسیب پذیری امتیاز در درایور ویدیوی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3936 A-30019037*
M-ALPS02829568
بالا هیچ یک 6 جولای 2016
CVE-2016-3937 A-30030994*
M-ALPS02834874
بالا هیچ یک 7 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام

افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3938 A-30019716
QC-CR#1049232
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One 7 جولای 2016
CVE-2016-3939 الف-30874196
QC-CR#1001224
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One 15 اوت 2016

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3940 A-30141991* بالا Nexus 6P، Android One 12 جولای 2016
CVE-2016-6672 A-30537088* بالا Nexus 5X 31 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور دوربین NVIDIA

افزایش آسیب پذیری امتیاز در درایور دوربین NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6673 A-30204201*
N-CVE-2016-6673
بالا Nexus 9 17 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در system_server

افزایش آسیب پذیری امتیاز در system_server می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6674 A-30445380* بالا همه Nexus 26 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3905 الف-28061823
QC-CR#1001449
بالا Nexus 5X گوگل داخلی
CVE-2016-6675 الف-30873776
QC-CR#1000861
بالا Nexus 5X، Android One 15 اوت 2016
CVE-2016-6676 الف-30874066
QC-CR#1000853
بالا Nexus 5X، Android One 15 اوت 2016
CVE-2016-5342 الف-30878283
QC-CR#1032174
بالا اندروید وان 15 اوت 2016

افزایش آسیب پذیری امتیاز در زیر سیستم عملکرد هسته

افزایش آسیب پذیری امتیاز در زیرسیستم عملکرد هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2015-8955 الف-29508816
هسته بالادست
بالا Nexus 5X، Nexus 6P، Pixel C، Android One گوگل داخلی

آسیب پذیری افشای اطلاعات در زیرسیستم هسته ION

یک آسیب‌پذیری افشای اطلاعات در زیرسیستم هسته ION می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2015-8950 الف-29795245
QC-CR#1041735
بالا Nexus 5، Nexus 5X، Nexus 6، Nexus 6P 12 مه 2016

آسیب پذیری افشای اطلاعات در درایور کارت گرافیک NVIDIA

یک آسیب‌پذیری افشای اطلاعات در درایور کارت گرافیک NVIDIA می‌تواند یک برنامه مخرب محلی را قادر سازد تا به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6677 A-30259955*
N-CVE-2016-6677
بالا Nexus 9 19 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور کاراکتر Qualcomm

افزایش آسیب پذیری امتیاز در درایور کاراکتر Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و کد آسیب‌پذیر در حال حاضر قابل دسترسی نیست.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2015-0572 الف-29156684
QC-CR#848489
در حد متوسط Nexus 5X، Nexus 6P 28 مه 2016

آسیب پذیری افشای اطلاعات در درایور صدای کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور صدای Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3860 الف-29323142
QC-CR#1038127
در حد متوسط Nexus 5X، Nexus 6P، Android One 13 ژوئن 2016

آسیب پذیری افشای اطلاعات در درایور USBNet Motorola

یک آسیب‌پذیری افشای اطلاعات در درایور USBNet موتورولا می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6678 الف-29914434* در حد متوسط Nexus 6 30 ژوئن 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در اجزای کوالکام

یک آسیب‌پذیری افشای اطلاعات در اجزای کوالکام، از جمله درایور صدا، درایور IPA و درایور Wi-Fi می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6679 الف-29915601
QC-CR#1000913 [ 2 ]
در حد متوسط Nexus 5X، Android One 30 ژوئن 2016
CVE-2016-3902 A-29953313*
QC-CR#1044072
در حد متوسط Nexus 5X، Nexus 6P، 2 جولای 2016
CVE-2016-6680 A-29982678*
QC-CR#1048052
در حد متوسط Nexus 5X، Android One 3 جولای 2016
CVE-2016-6681 الف-30152182
QC-CR#1049521
در حد متوسط Nexus 5X، Nexus 6P، Android One 14 جولای 2016
CVE-2016-6682 الف-30152501
QC-CR#1049615
در حد متوسط Nexus 5X، Nexus 6P، Android One 14 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در اجزای هسته

یک آسیب‌پذیری افشای اطلاعات در اجزای هسته، از جمله بایندر، همگام‌سازی، بلوتوث و درایور صدا، می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6683 A-30143283* در حد متوسط همه Nexus 13 جولای 2016
CVE-2016-6684 A-30148243* در حد متوسط Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Android One 13 جولای 2016
CVE-2015-8956 A-30149612* در حد متوسط Nexus 5، Nexus 6P، Android One 14 جولای 2016
CVE-2016-6685 A-30402628* در حد متوسط Nexus 6P 25 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در نمایه ساز NVIDIA

یک آسیب‌پذیری افشای اطلاعات در نمایه‌ساز NVIDIA می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6686 A-30163101*
N-CVE-2016-6686
در حد متوسط Nexus 9 15 جولای 2016
CVE-2016-6687 A-30162222*
N-CVE-2016-6687
در حد متوسط Nexus 9 15 جولای 2016
CVE-2016-6688 A-30593080*
N-CVE-2016-6688
در حد متوسط Nexus 9 2 اوت 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در هسته

یک آسیب‌پذیری افشای اطلاعات در Binder می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6689 A-30768347* در حد متوسط همه Nexus 9 اوت 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری انکار سرویس در زیرسیستم شبکه هسته

آسیب پذیری انکار سرویس در زیرسیستم شبکه هسته می تواند مهاجم را قادر سازد دسترسی به اتصالات TCP را مسدود کند و باعث انکار موقت سرویس از راه دور شود. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا خدمات تلفن همراه هنوز در دسترس هستند و دستگاه هنوز قابل استفاده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-5696 الف-30809774
هسته بالادست
در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Android One 12 جولای 2016

آسیب پذیری انکار سرویس در درایور صدای هسته

آسیب پذیری انکار سرویس در هسته می تواند به یک برنامه مخرب محلی اجازه راه اندازی مجدد دستگاه را بدهد. این موضوع به دلیل انکار موقت سرویس به عنوان Low رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6690 A-28838221* کم Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus Player 18 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری در اجزای کوالکام

جدول زیر شامل لیستی از آسیب پذیری های امنیتی است که بر اجزای کوالکام تأثیر می گذارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-6691 QC-CR#978452 بالا هیچ یک جولای 2016
CVE-2016-6692 QC-CR#1004933 بالا هیچ یک آگوست 2016
CVE-2016-6693 QC-CR#1027585 بالا هیچ یک آگوست 2016
CVE-2016-6694 QC-CR#1033525 بالا هیچ یک آگوست 2016
CVE-2016-6695 QC-CR#1033540 بالا هیچ یک آگوست 2016
CVE-2016-6696 QC-CR#1041130 بالا هیچ یک آگوست 2016
CVE-2016-5344 QC-CR#993650 در حد متوسط هیچ یک آگوست 2016
CVE-2016-5343 QC-CR#1010081 در حد متوسط هیچ یک آگوست 2016

پرسش ها و پاسخ های متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

سطوح وصله امنیتی 2016-10-01 یا بعد از آن، تمام مسائل مرتبط با سطح رشته وصله امنیتی 2016-10-01 را بررسی می کند. سطوح وصله امنیتی 2016-10-05 یا بعد از آن، تمام مسائل مرتبط با سطح رشته وصله امنیتی 2016-10-05 را بررسی می کند. برای دستورالعمل‌های نحوه بررسی سطح وصله امنیتی به مرکز راهنمایی مراجعه کنید. سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی: [ro.build.version.security_patch]:[01-10-2016] یا [ro.build.version.security_patch]:[05-10-2016] تنظیم کنند.

2. چرا این بولتن دارای دو رشته سطح وصله امنیتی است؟

این بولتن دارای دو رشته سطح وصله امنیتی است تا شرکای Android انعطاف پذیری داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین رشته سطح وصله امنیتی استفاده کنند.

دستگاه‌هایی که از سطح وصله امنیتی 5 اکتبر 2016 یا جدیدتر استفاده می‌کنند باید همه وصله‌های قابل‌اجرا در این بولتن‌های امنیتی (و قبلی) را شامل شوند.

دستگاه‌هایی که از سطح وصله امنیتی 1 اکتبر 2016 استفاده می‌کنند باید شامل تمام مشکلات مرتبط با آن سطح وصله امنیتی و همچنین رفع تمام مشکلات گزارش‌شده در بولتن‌های امنیتی قبلی باشند.

3. چگونه تعیین کنم که کدام دستگاه‌های Nexus تحت تأثیر هر مشکلی قرار می‌گیرند؟

در بخش‌های جزئیات آسیب‌پذیری امنیتی 01-10-2016 و 05-10-2016 ، هر جدول دارای یک ستون دستگاه‌های Nexus به‌روزرسانی شده است که محدوده دستگاه‌های Nexus آسیب‌دیده را که برای هر مشکل به‌روزرسانی می‌شوند، پوشش می‌دهد. این ستون چند گزینه دارد:

  • همه دستگاه‌های Nexus : اگر مشکلی بر همه دستگاه‌های Nexus تأثیر بگذارد، جدول «همه Nexus» را در ستون دستگاه‌های Nexus به‌روزشده خواهد داشت. «همه Nexus» دستگاه‌های پشتیبانی‌شده زیر را در بر می‌گیرد: Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player و Pixel C.
  • برخی از دستگاه‌های Nexus : اگر مشکلی بر همه دستگاه‌های Nexus تأثیر نگذارد، دستگاه‌های Nexus آسیب‌دیده در ستون دستگاه‌های Nexus به‌روزرسانی‌شده فهرست می‌شوند.
  • دستگاه Nexus وجود ندارد : اگر هیچ دستگاه Nexus دارای Android 7.0 تحت تأثیر این مشکل قرار نگیرد، جدول «هیچ‌کدام» در ستون دستگاه‌های Nexus به‌روزرسانی شده خواهد بود.

4. ورودی های ستون مراجع به چه چیزی نگاشته می شوند؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. این پیشوندها به صورت زیر ترسیم می شوند:

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

تجدید نظرها

  • 03 اکتبر 2016: بولتن منتشر شد.
  • 04 اکتبر 2016: بولتن برای شامل پیوندهای AOSP و تخصیص به‌روزرسانی برای CVE-2016-3920، CVE-2016-6693، CVE-2016-6694، CVE-2016-6695، و CVE-2016-6696 اصلاح شد.