تاريخ النشر: 3 تشرين الأول (أكتوبر) 2016 | تاريخ التعديل: 4 تشرين الأول (أكتوبر) 2016
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. إلى جانب نشرة الأمان، أصدرنا تحديثًا لأمان أجهزة Nexus من خلال تحديث عبر شبكة غير سلكية (OTA). تم أيضًا إصدار ملفّات برمجية أساسية لأجهزة Nexus على موقع "مطوّرو تطبيقات Google". تعالج مستويات رموز تصحيح الأمان في 5 تشرين الأول (أكتوبر) 2016 أو الإصدارات الأحدث هذه الصعوبات. راجِع المستندات للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان. ستتلقّى أجهزة Nexus المتوافقة تحديثًا واحدًا عبر شبكة Wi-Fi يتضمّن مستوى تصحيح الأمان في 5 تشرين الأول (أكتوبر) 2016.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة بتاريخ 06 أيلول (سبتمبر) 2016 أو قبل ذلك. تم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) حيثما كان ذلك منطبقًا. يتضمّن هذا التقرير أيضًا روابط إلى تصحيحات خارج AOSP.
وأكثر هذه المشاكل خطورة هي الثغرات الأمنية الخطيرة في الرمز البرمجي الخاص بالجهاز والتي يمكن أن تتيح تنفيذ الرمز البرمجي عن بُعد في سياق النواة، ما يؤدي إلى احتمال اختراق الجهاز بشكل دائم على المستوى المحلي، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز. يستند تقييم الصعوبة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى قسم الحماية من هجمات أمان Android وخدمات Google للاطّلاع على تفاصيل حول الحماية من هجمات أمان نظام Android وحماية الخدمات، مثل SafetyNet، التي تحسِّن من أمان نظام Android الأساسي.
وننصحك بقبول هذه التحديثات على أجهزتك.
الإشعارات
- تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان بهدف منح شركاء Android
المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات
المشابهة بشكل أسرع على جميع أجهزة Android. يمكنك الاطّلاع على الأسئلة الشائعة والإجابات عنها للحصول على مزيد من المعلومات:
- 2016-10-01: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة مستوى تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01-10-2016 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- 2016-10-05: سلسلة كاملة لمستوى تحديث الأمان تشير سلسلة مستويات تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بالتاريخَين 01-10-2016 و05-10-2016 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- ستتلقّى أجهزة Nexus المتوافقة تحديثًا واحدًا عبر شبكة غير سلكية يتضمّن مستوى تصحيح الأمان بتاريخ 05 تشرين الأول (أكتوبر) 2016.
إجراءات التخفيف في Android وخدمات Google
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- تم تحسين الإصدارات الأحدث من نظام Android لمنع استغلال العديد من المشاكل على هذا النظام. وننصحك بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يراقب فريق أمان Android الاستخدام المسيء من خلال التحقّق من التطبيقات وSafetyNet، اللذان تم تصميمهما لتحذير المستخدمين من التطبيقات التي قد تكون ضارة. تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا على الأجهزة التي تعمل بخدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبتون التطبيقات من خارج Google Play. يُحظر استخدام أدوات برمجة التطبيقات التي تتيح الوصول إلى الجذر على Google Play، ولكن تحذّر ميزة "التحقّق من التطبيقات" المستخدمين عند محاولة تثبيت تطبيق تم رصده يتيح الوصول إلى الجذر، بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة "التحقق من التطبيقات" تحديد وتثبيط تثبيت التطبيقات الخبيثة المعروفة التي تستغل ثغرة أمنية متعلقة بتصعيد الأذونات. إذا سبق تثبيت تطبيق مماثل، ستُرسِل ميزة "التحقّق من التطبيقات" إشعارًا إلى المستخدم وستحاول إزالة التطبيق الذي تم رصده.
- لا تُرسِل تطبيقات Google Hangouts وMessenger تلقائيًا الوسائط إلى عمليات مثل Mediaserver، وذلك حسب الاقتضاء.
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- أندريه تيكسيرا ريزو: CVE-2016-3882
- أندريا بيواندو: CVE-2016-3921
- "دانيال ميكاي" من Copperhead Security: CVE-2016-3922
- ديميتري فيوكوف من Google: CVE-2016-7117
- dosomder: CVE-2016-3931
- إيكولار شو (Xu Jian) من Trend Micro: CVE-2016-3920
- Gengjia Chen (@chengjia4574) وpjf من مختبر IceSword، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-6690 وCVE-2016-3901 وCVE-2016-6672 وCVE-2016-3940 CVE-2016-3935
- هانغ تشانغ، دونغدونغ شي، زهييون تشياو من جامعة كاليفورنيا في ريفرسايد: CVE-2015-8950
- هاو تشين من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- "يان هورن" من فريق Project Zero في Google: CVE-2016-3900 وCVE-2016-3885
- جيسون روجينا: CVE-2016-3917
- جيانكينغ تشاو (@jianqiangzhao) و pjf من مختبر IceSword، Qihoo 360: CVE-2016-6688، CVE-2016-6677، CVE-2016-6673، CVE-2016-6687، CVE-2016-6686، CVE-2016-6681، CVE-2016-6682، CVE-2016-3930
- جوشوا دريك (@jduck): CVE-2016-3920
- Maciej Szawłowski من فريق أمان Google: CVE-2016-3905
- Mark Brand من Google Project Zero: CVE-2016-6689
- Michał Bednarski: CVE-2016-3914 وCVE-2016-6674 وCVE-2016-3911 وCVE-2016-3912
- مينغيان تشو (@Mingjian_Zhou)، تشياتشيه وو (@chiachih_wu)، وشيكسيان جيان من فريق C0RE: CVE-2016-3933 وCVE-2016-3932
- أبحاث الأمن السيبراني في Nightwatch (@nightwatchcyber): CVE-2016-5348
- "روه ها"، باحث في فريق X-Force للأمان في IBM: CVE-2016-6678
- سامويل تان من Google: CVE-2016-3925
- سكوت باور (@ScottyBauer1): CVE-2016-3936 وCVE-2016-3928 وCVE-2016-3902 وCVE-2016-3937 وCVE-2016-6696
- Seven Shen (@lingtongshen) من فريق Trend Micro Mobile Threat Research: CVE-2016-6685 وCVE-2016-6683 وCVE-2016-6680 وCVE-2016-6679 وCVE-2016-3903 وCVE-2016-6693 وCVE-2016-6694 وCVE-2016-6695
- Wenke Dou وMingjian Zhou (@Mingjian_Zhou) وChiachih Wu (@chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2016-3909
- "وينلين يانغ" و"غوانغ غون" (@oldfresher) من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Wish Wu (吴潍浠) (@wish_wu) من Trend Micro Inc.: CVE-2016-3924 وCVE-2016-3915 وCVE-2016-3916 وCVE-2016-3910
- "يونغ شي" من فريق Eagleye، فريق أمان البرامج والشبكات، شركة Huawei: CVE-2016-3938
- زهانغ بان بوه (行之) (@0xr0ot) من مختبر أبحاث الأمان في Cheetah Mobile: CVE-2016-3908
2016-10-01 مستوى رمز تصحيح الأمان: تفاصيل الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى تصحيح 01-10-2016. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمرجعات المرتبطة بها ومستوى الخطورة وأجهزة Nexus التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في ServiceManager تؤدي إلى تصعيد الأذونات
يمكن أن يؤدي الحصول على امتياز في ServiceManager إلى السماح لتطبيق محلي ضارٍ بتسجيل خدمات عشوائية تقدّمها عادةً عملية مفوَّضة، مثل system_server. تم تصنيف هذه المشكلة على أنّها خطيرة للغاية بسبب إمكانية انتحال هوية الخدمة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [2] | عالية | كل أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 15 حزيران (يونيو) 2016 |
ثغرة أمنية تتعلّق برفع مستوى الأذونات في خدمة "إعدادات القفل"
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في خدمة "إعدادات القفل" إلى السماح لتطبيق ضار محلي بمحو رقم التعريف الشخصي أو كلمة المرور للجهاز. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تؤدي إلى تجاوز متطلبات تفاعل المستخدم على الجهاز لإجراء أي تعديلات على إعدادات المطوّر أو إعدادات الأمان.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | عالية | كل أجهزة Nexus | 6.0 و6.0.1 و7.0 | 6 تموز (يوليو) 2016 |
ثغرة أمنية في Mediaserver تؤدي إلى إساءة استخدام الأذونات المميزة وعالية المستوى
يمكن أن تؤدي ثغرة أمنية في Mediaserver تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [2] | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 8 تموز (يوليو) 2016 |
| CVE-2016-3910 | A-30148546 | عالية | كل أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 13 تموز (يوليو) 2016 |
| CVE-2016-3913 | A-30204103 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 18 تموز (يوليو) 2016 |
ثغرة أمنية في عملية Zygote تؤدي إلى تصعيد الأذونات
يمكن أن يؤدي رفع مستوى الأذونات في عملية Zygote إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى ميزات متقدّمة على الجهاز، والتي لا يمكن لتطبيق تابع لجهة خارجية الوصول إليها عادةً.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 12 تموز (يوليو) 2016 |
ثغرة أمنية في واجهات برمجة تطبيقات إطار العمل تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في أذونات الوصول إلى البيانات في واجهات برمجة التطبيقات الخاصة بالإطار إلى السماح لتطبيق ضار محلي بتنفيذ رمز برمجي عشوائي في سياق عملية مزوّدة بأذونات وصول عالية المستوى. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 17 تموز (يوليو) 2016 |
ثغرة أمنية في "الهاتف" تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في مكوّن "الهاتف" تؤدي إلى الحصول على امتيازات غير مستحقة، ما يتيح لتطبيق ضار محلي تنفيذ رمز عشوائي في سياق عملية ممنوحة امتيازات. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 28 تموز (يوليو) 2016 |
ثغرة أمنية في خدمة "الكاميرا" تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في خدمة "الكاميرا" تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 1 آب (أغسطس) 2016 |
| CVE-2016-3916 | A-30741779 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 2 آب (أغسطس) 2016 |
ثغرة تصعيد الامتيازات في تسجيل الدخول باستخدام بصمة الإصبع
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الحصول على امتيازات إضافية أثناء تسجيل الدخول باستخدام بصمة الإصبع إلى السماح لصاحب الجهاز الضار بتسجيل الدخول باستخدام حساب مستخدم مختلف على الجهاز. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب إمكانية تجاوز شاشة القفل.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3917 | A-30744668 | عالية | كل أجهزة Nexus | 6.0.1 و7.0 | 5 آب (أغسطس) 2016 |
ثغرة أمنية في AOSP Mail تؤدي إلى الإفصاح عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في AOSP Mail التي تؤدي إلى الكشف عن المعلومات إلى تمكين تطبيق محلي ضار من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3918 | A-30745403 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 5 آب (أغسطس) 2016 |
ثغرة تتعلّق برفض الخدمة في شبكة Wi-Fi
يمكن أن تسمح إحدى نقاط الضعف في خدمة Wi-Fi لهجوم حجب الخدمة لمستخدم قريب منك بإنشاء نقطة اتصال وإعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنّها عالية بسبب احتمال حدوث رفض مؤقت للخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3882 | A-29464811 | عالية | كل أجهزة Nexus | 6.0 و6.0.1 و7.0 | 17 حزيران (يونيو) 2016 |
ثغرة أمنية في نظام تحديد المواقع العالمي (GPS) تؤدي إلى حجب الخدمة
يمكن أن تؤدي ثغرة الخدمة المرفوضة في مكوّن نظام تحديد المواقع العالمي (GPS) إلى السماح لمهاجم عن بُعد بالتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث حجب مؤقت للخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 20 حزيران (يونيو) 2016 |
ثغرة أمنية في Mediaserver تؤدي إلى حجب الخدمة
يمكن أن تسمح ثغرة رفض الخدمة في Mediaserver للمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3920 | A-30744884 | عالية | كل أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 5 آب (أغسطس) 2016 |
ثغرة أمنية في Framework Listener تؤدي إلى إساءة استخدام الأذونات
يمكن أن تؤدي ثغرة أمنية في Framework Listener تؤدي إلى الحصول على أذونات مميزة إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | متوسط | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 25 حزيران (يونيو) 2016 |
ثغرة أمنية في "الهاتف" تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع الأذونات في "الهاتف" إلى تمكين تطبيق محلي ضار من تنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | متوسط | كل أجهزة Nexus | 6.0 و6.0.1 و7.0 | 17 تموز (يوليو) 2016 |
ثغرة أمنية في خدمات تسهيل الاستخدام تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي إحدى الثغرات الأمنية المتعلّقة برفع مستوى الأذونات في خدمات "تسهيل الاستخدام" إلى السماح لتطبيق ضار على الجهاز بإنشاء أحداث لمس غير متوقّعة على الجهاز، ما قد يؤدي إلى قبول التطبيقات لمربّعات حوار طلب الأذونات بدون موافقة المستخدم الصريحة. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّها تؤدي إلى التحايل على متطلبات تفاعل المستخدم على الجهاز، والتي تتطلّب عادةً بدء المستخدمين لهذه الإجراءات أو الحصول على إذن منهم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3923 | A-30647115 | متوسط | كل أجهزة Nexus | 7 | Google فقط |
ثغرة أمنية تتعلّق بالكشف عن المعلومات في Mediaserver
يمكن أن تؤدي إحدى نقاط الضعف في Mediaserver إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | متوسط | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 18 تموز (يوليو) 2016 |
ثغرة أمنية في شبكة Wi-Fi تؤدي إلى حجب الخدمة
يمكن أن تؤدي ثغرة في خدمة Wi-Fi تؤدي إلى رفض الخدمة إلى السماح لتطبيق محلي ضار بمنع الاتصال عبر Wi-Fi. تم تصنيف هذه المشكلة على أنّها متوسطة الصعوبة بسبب احتمالية حدوث هجوم حجب الخدمة لوظائف التطبيق.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | متوسط | كل أجهزة Nexus | 6.0 و6.0.1 و7.0 | Google فقط |
2016-10-05 مستوى رمز تصحيح الأمان: تفاصيل الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى تصحيح 05-10-2016. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمرجعات المرتبطة بها ومستوى الخطورة وأجهزة Nexus التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في أداة فك ترميز ASN.1 في kernel تؤدي إلى تنفيذ رمزبرمجي عن بُعد
يمكن أن تؤدي ثغرة أمنية في أداة فك ترميز ASN.1 في نواة النظام إلى منح تطبيق ضار محلي إذن تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 نواة Upstream |
حرِج | Nexus 5X وNexus 6P | 12 أيار (مايو) 2016 |
ثغرة تنفيذ رمز عن بُعد في النظام الفرعي للشبكة في kernel
يمكن أن تسمح ثغرة أمنية لتنفيذ رمز عن بُعد في النظام الفرعي للشبكة في kernel بتنفيذ مهاجم عن بُعد رمزًا عشوائيًا في سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 الإصدار الأحدث للنواة |
حرِج | كل أجهزة Nexus | Google فقط |
ثغرة أمنية تؤدي إلى رفع مستوى الأذونات في برنامج تشغيل الفيديو من MediaTek
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من MediaTek إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لهجوم دائم محلي، ما قد يتطلّب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 |
حرِج | ما مِن قيود مفروضة | 6 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تتعلّق برفع مستوى الأذونات في برنامج تشغيل الذاكرة المشتركة للنواة
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل الذاكرة المشتركة للنواة إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لهجوم دائم محلي، ما قد يتطلّب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 |
حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وAndroid One | 26 تموز (يوليو) 2016 |
الثغرات الأمنية في مكونات Qualcomm
يحتوي الجدول التالي على ثغرات أمنية تؤثر في مكونات Qualcomm وتكون موضّحة بمزيد من التفصيل في نشرات الأمان الخاصة بمجموعة Qualcomm AMSS لشهر آذار (مارس) 2016 و مجموعة Qualcomm AMSS لشهر نيسان (أبريل) 2016.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P | فريق Qualcomm الداخلي |
| CVE-2016-3927 | A-28823244* | حرِج | Nexus 5X وNexus 6P | فريق Qualcomm الداخلي |
| CVE-2016-3929 | A-28823675* | عالية | Nexus 5X وNexus 6P | فريق Qualcomm الداخلي |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تتعلّق برفع مستوى الأذونات في مكوّن شبكة Qualcomm
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في مكوّن شبكة Qualcomm إلى تمكين تطبيق ضار على الجهاز من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 |
عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وAndroid One | 4 شباط (فبراير) 2016 |
ثغرة أمنية في ميزة "تصعيد الامتيازات" في IDE لاختبار MMC من NVIDIA
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في برنامج تشغيل اختبار NVIDIA MMC إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 |
عالية | Nexus 9 | 12 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في ميزة "تصعيد الامتيازات" في برنامج تشغيل Qualcomm QSEE Communicator
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في برنامج تشغيل Qualcomm QSEE Communicator إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها عالية لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One | 4 حزيران (يونيو) 2016 |
ثغرة أمنية في Mediaserver تؤدي إلى إساءة استخدام الأذونات المميزة وعالية المستوى
يمكن أن تؤدي ثغرة أمنية في Mediaserver تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 |
عالية | ما مِن قيود مفروضة | 6 حزيران (يونيو) 2016 |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 |
عالية | Nexus 9 وPixel C | 14 حزيران (يونيو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تتعلّق بتجاوز الأذونات في برنامج تشغيل كاميرا Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل كاميرا Qualcomm لرفع مستوى الأذونات إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 |
عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وAndroid One | 20 حزيران (يونيو) 2016 |
| CVE-2016-3934 | A-30102557 QC-CR#789704 |
عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وAndroid One | 12 تموز (يوليو) 2016 |
ثغرة Elevation of privilege في برنامج تشغيل الصوت من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 |
عالية | Nexus 5X وNexus 6P وAndroid One | 20 حزيران (يونيو) 2016 |
ثغرة أمنية تتعلّق برفع مستوى الأذونات في برنامج تشغيل محرك التشفير من Qualcomm
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في برنامج تشغيل محرك التشفير من Qualcomm إلى تمكين تطبيق ضار على الجهاز من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها أولاً تتطلّب اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One | 6 تموز (يوليو) 2016 |
| CVE-2016-3935 | A-29999665 QC-CR#1046507 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One | 6 تموز (يوليو) 2016 |
ثغرة أمنية تؤدي إلى رفع مستوى الأذونات في برنامج تشغيل الفيديو من MediaTek
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من MediaTek إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 |
عالية | ما مِن قيود مفروضة | 6 تموز (يوليو) 2016 |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 |
عالية | ما مِن قيود مفروضة | 7 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة elevation of privilege في برنامج تشغيل الفيديو من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من Qualcomm إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One | 7 تموز (يوليو) 2016 |
| CVE-2016-3939 | A-30874196 QC-CR#1001224 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One | 15 آب (أغسطس) 2016 |
ثغرة أمنية تتعلّق برفع مستوى الأذونات في برنامج تشغيل شاشة لمس Synaptics
هناك ثغرة أمنية في برنامج تشغيل شاشة لمس Synaptics تؤدي إلى منح أذونات مميزة وعالية المستوى، ما يمكن أن يتيح لتطبيق ضار محلي تنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | عالية | Nexus 6P وAndroid One | 12 تموز (يوليو) 2016 |
| CVE-2016-6672 | A-30537088* | عالية | Nexus 5X | 31 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة Elevation of privilege في برنامج تشغيل كاميرا NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل كاميرا NVIDIA تؤدي إلى الحصول على أذونات مميزة إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 |
عالية | Nexus 9 | 17 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في system_server تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في نظام التشغيل system_server تؤدي إلى الحصول على أذونات مميزة إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | عالية | كل أجهزة Nexus | 26 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة Elevation of privilege في برنامج تشغيل Wi-Fi من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا بالوصول إلى ميزات بمستوى امتياز أعلى، ما يتيح له تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 QC-CR#1001449 |
عالية | Nexus 5X | Google فقط |
| CVE-2016-6675 | A-30873776 QC-CR#1000861 |
عالية | Nexus 5X، Android One | 15 آب (أغسطس) 2016 |
| CVE-2016-6676 | A-30874066 QC-CR#1000853 |
عالية | Nexus 5X، Android One | 15 آب (أغسطس) 2016 |
| CVE-2016-5342 | A-30878283 QC-CR#1032174 |
عالية | Android One | 15 آب (أغسطس) 2016 |
ثغرة elevation of privilege في النظام الفرعي لأداء kernel
يمكن أن تؤدي ثغرة أمنية في رفع الأذونات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 النواة من المصدر |
عالية | Nexus 5X وNexus 6P وPixel C وAndroid One | Google فقط |
ثغرة أمنية تتعلّق بكشف المعلومات في النظام الفرعي ION للنواة
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى إفشاء المعلومات في النظام الفرعي ION للنواة إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 |
عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P | 12 أيار (مايو) 2016 |
ثغرة أمنية تتعلّق بكشف المعلومات في برنامج تشغيل وحدة معالجة الرسومات من NVIDIA
يمكن أن تؤدي إحدى نقاط الضعف في الكشف عن المعلومات في برنامج تشغيل وحدة معالجة الرسومات NVIDIA إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 |
عالية | Nexus 9 | 19 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تتعلّق برفع مستوى الأذونات في برنامج تشغيل الأحرف من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الأحرف من Qualcomm إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة، ولا يمكن حاليًا الوصول إلى الرمز البرمجي الذي يتضمّن ثغرة أمنية.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 QC-CR#848489 |
متوسط | Nexus 5X وNexus 6P | 28 أيار (مايو) 2016 |
ثغرة أمنية في برنامج الإفصاح عن المعلومات في برنامج تشغيل الصوت من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 |
متوسط | Nexus 5X وNexus 6P وAndroid One | 13 حزيران (يونيو) 2016 |
ثغرة أمنية تتعلّق بكشف المعلومات في برنامج تشغيل Motorola USBNet
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Motorola USBNet إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | متوسط | Nexus 6 | 30 حزيران (يونيو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تتعلّق بكشف المعلومات في مكونات Qualcomm
هناك ثغرة أمنية في مكونات Qualcomm تؤدي إلى الكشف عن المعلومات، بما في ذلك برنامج تشغيل الصوت وبرنامج تشغيل IPA وبرنامج تشغيل Wi-Fi، ما قد يسمح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [2] |
متوسط | Nexus 5X، Android One | 30 حزيران (يونيو) 2016 |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 |
متوسط | Nexus 5X وNexus 6P | 2 تموز (يوليو) 2016 |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 |
متوسط | Nexus 5X، Android One | 3 تموز (يوليو) 2016 |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 |
متوسط | Nexus 5X وNexus 6P وAndroid One | 14 تموز (يوليو) 2016 |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 |
متوسط | Nexus 5X وNexus 6P وAndroid One | 14 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تتعلّق بكشف المعلومات في مكوّنات kernel
يمكن أن تؤدي إحدى الثغرات الأمنية في مكونات kernel إلى تعريض معلوماتك للخطر، بما في ذلك Binder وSync وBluetooth وSound driver، ما يتيح لتطبيق محلي ضار الوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | متوسط | كل أجهزة Nexus | 13 تموز (يوليو) 2016 |
| CVE-2016-6684 | A-30148243* | متوسط | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وAndroid One | 13 تموز (يوليو) 2016 |
| CVE-2015-8956 | A-30149612* | متوسط | Nexus 5 وNexus 6P وAndroid One | 14 تموز (يوليو) 2016 |
| CVE-2016-6685 | A-30402628* | متوسط | Nexus 6P | 25 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تتعلّق بكشف المعلومات في أداة تحليل الأداء من NVIDIA
يمكن أن تؤدي إحدى نقاط الضعف في ميزة "تحليل الأداء" في NVIDIA إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 |
متوسط | Nexus 9 | 15 تموز (يوليو) 2016 |
| CVE-2016-6687 | A-30162222* N-CVE-2016-6687 |
متوسط | Nexus 9 | 15 تموز (يوليو) 2016 |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 |
متوسط | Nexus 9 | 2 آب (أغسطس) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
تسرّب المعلومات الثغرة الأمنية في النواة
يمكن أن تؤدي إحدى نقاط الضعف في Binder إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | متوسط | كل أجهزة Nexus | 9 آب (أغسطس) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية لحجب الخدمة في النظام الفرعي لشبكة kernel
يمكن أن تؤدي ثغرة حجب الخدمة في النظام الفرعي لشبكة النواة إلى تمكين المهاجم من حظر الوصول إلى اتصالات بروتوكول النقل (TCP) وتسبب في حجب الخدمة عن بُعد بشكل مؤقت. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّ خدمات الشبكة الخلوية لا تزال متاحة والجهاز لا يزال قابلاً للاستخدام.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 Upstream kernel |
متوسط | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C وAndroid One | 12 تموز (يوليو) 2016 |
ثغرة أمنية تؤدي إلى حجب الخدمة في kernel برنامج تشغيل الصوت
يمكن أن تؤدي ثغرة أمنية في نواة النظام تؤدي إلى حجب الخدمة إلى السماح لتطبيق محلي ضار بإعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنّها منخفضة الخطورة لأنّها تتعلّق بحالة حجب الخدمة مؤقتًا.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | ضعيفة | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus Player | 18 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرات أمنية في مكونات Qualcomm
يحتوي الجدول أدناه على قائمة بالثغرات الأمنية التي تؤثر في مكونات Qualcomm.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | عالية | ما مِن قيود مفروضة | تموز (يوليو) 2016 |
| CVE-2016-6692 | QC-CR#1004933 | عالية | ما مِن قيود مفروضة | آب (أغسطس) 2016 |
| CVE-2016-6693 | QC-CR#1027585 | عالية | ما مِن قيود مفروضة | آب (أغسطس) 2016 |
| CVE-2016-6694 | QC-CR#1033525 | عالية | ما مِن قيود مفروضة | آب (أغسطس) 2016 |
| CVE-2016-6695 | QC-CR#1033540 | عالية | ما مِن قيود مفروضة | آب (أغسطس) 2016 |
| CVE-2016-6696 | QC-CR#1041130 | عالية | ما مِن قيود مفروضة | آب (أغسطس) 2016 |
| CVE-2016-5344 | QC-CR#993650 | متوسط | ما مِن قيود مفروضة | آب (أغسطس) 2016 |
| CVE-2016-5343 | QC-CR#1010081 | متوسط | ما مِن قيود مفروضة | آب (أغسطس) 2016 |
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدّثًا لحلّ هذه المشاكل؟
تعالج مستويات تصحيحات الأمان بتاريخ 01-10-2016 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى سلسلة تصحيح الأمان بتاريخ 01-10-2016. تعالج مستويات تصحيح الأمان بتاريخ 05-10-2016 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى سلسلة تصحيح الأمان بتاريخ 05-10-2016. يُرجى الرجوع إلى مركز المساعدة للحصول على تعليمات حول كيفية التحقّق من مستوى تحديث الأمان. على مصنعي الأجهزة الذين يُدرِجون هذه التعديلات ضبط مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-10-01] أو [ro.build.version.security_patch]:[2016-10-05].
2. لماذا تتضمّن هذه النشرة الإخبارية سلاسل رمز تصحيح أمان سمتَين؟
تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان حتى يحصل شركاء Android على مرونة أكبر في إصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بحلّ جميع المشاكل المذكورة في هذه النشرة واستخدام أحدث سلسلة لمستوى تصحيح الأمان.
يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 تشرين الأول (أكتوبر) 2016 أو إصدارًا أحدث جميع التصحيحات السارية في نشرة الأمان هذه (والسابقة).
يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 تشرين الأول (أكتوبر) 2016 كل الصعوبات المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لجميع الصعوبات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
3. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟
في قسمَي تفاصيل ثغرات الأمان بتاريخ 01-10-2016 و 05-10-2016 ، يحتوي كل جدول على عمود أجهزة Nexus التي تم تعديلها الذي يشمل نطاق أجهزة Nexus المتأثرة التي تم تعديلها لحلّ كل مشكلة. يتضمّن هذا العمود بعض الخيارات:
- جميع أجهزة Nexus: إذا كانت المشكلة تؤثر في جميع أجهزة Nexus، سيظهر في الجدول "جميع أجهزة Nexus" في عمود أجهزة Nexus التي تم تحديثها. يشمل خيار "جميع أجهزة Nexus" الأجهزة التالية المتوافقة: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C.
- بعض أجهزة Nexus: إذا لم تؤثّر المشكلة في جميع أجهزة Nexus ، يتم إدراج أجهزة Nexus المتأثّرة في عمود أجهزة Nexus التي تم تحديثها.
- لا تتوفّر أجهزة Nexus: إذا لم تتأثّر المشكلة بأي أجهزة Nexus تعمل بالإصدار 7.0 من Android ، سيظهر في الجدول الخيار "لا تتوفّر" في عمود أجهزة Nexus التي تم تحديثها.
4. ما هي العناصر التي ترتبط بها الإدخالات في عمود "المراجع"؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم ربط هذه البادئات على النحو التالي:
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
إصدارات
- 3 تشرين الأول (أكتوبر) 2016: تم نشر النشرة.
- 4 تشرين الأول (أكتوبر) 2016: تم تعديل النشرة لتضمين روابط AOSP وتعديل الإسنادات المتعلّقة بالثغرات CVE-2016-3920 وCVE-2016-6693 وCVE-2016-6694 CVE-2016-6695 وCVE-2016-6696.