تم النشر في 07 نوفمبر 2016 | تم التحديث في 21 ديسمبر 2016
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Google من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 06 نوفمبر 2016 أو ما بعده كل هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني للجهاز.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 20 أكتوبر 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.
أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- مع طرح أجهزة Pixel وPixel XL، أصبح المصطلح لجميع الأجهزة التي تدعمها Google هو "أجهزة Google" بدلاً من "أجهزة Nexus".
- تحتوي هذه النشرة على ثلاثة مستويات من التصحيح الأمني لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بشكل أسرع. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 01-11-2016 : مستوى التصحيح الأمني الجزئي. يشير مستوى تصحيح الأمان هذا إلى أن كافة المشكلات المرتبطة بتاريخ 01/11/2016 (وجميع مستويات تصحيح الأمان السابقة) قد تمت معالجتها.
- 05-11-2016 : إكمال مستوى التصحيح الأمني. يشير مستوى تصحيح الأمان هذا إلى أنه تمت معالجة كافة المشكلات المرتبطة بـ 01/11/2016 و05/11/2016 (وجميع مستويات تصحيح الأمان السابقة).
- مستويات تصحيح الأمان الإضافية
يتم توفير مستويات تصحيح الأمان الإضافية لتحديد الأجهزة التي تحتوي على إصلاحات للمشكلات التي تم الكشف عنها علنًا بعد تحديد مستوى التصحيح. معالجة هذه الثغرات الأمنية التي تم الكشف عنها مؤخرًا ليست مطلوبة حتى مستوى التصحيح الأمني 2016-12-01.
- 06-11-2016 : يشير مستوى التصحيح الأمني هذا إلى أن الجهاز قد عالج جميع المشكلات المرتبطة بـ 05-11-2016 وCVE-2016-5195، والتي تم الكشف عنها علنًا في 19 أكتوبر 2016.
- ستتلقى أجهزة Google المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني بتاريخ 05 نوفمبر 2016.
عمليات تخفيف خدمات Android وGoogle
هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة، مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
ونود أن نشكر هؤلاء الباحثين على مساهماتهم:
- أبهيشيك آريا، وأوليفر تشانغ، ومارتن باربيلا من فريق أمان Google Chrome: CVE-2016-6722
- أندريه كابيشنيكوف وميريام غيرشينسون من Google: CVE-2016-6703
- آو وانغ ( @ArayzSegment ) وزينو هان من PKAV ، Silence Information Technology: CVE-2016-6700، CVE-2016-6702
- Askyshang من قسم منصة الأمان، Tencent: CVE-2016-6713
- بيلي لاو من Android Security: CVE-2016-6737
- كونستانتينوس باتساكيس وإيفثيميوس أليبيس من جامعة بيرايوس: CVE-2016-6715
- dragonltx من فريق Alibaba Mobile Security: CVE-2016-6714
- جال بنياميني من Project Zero: CVE-2016-6707، CVE-2016-6717
- Gengjia Chen ( @chengjia4574 ) و pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-6725، CVE-2016-6738، CVE-2016-6740، CVE-2016-6741، CVE-2016-6742، CVE-2016-6744، CVE-2016-6745، CVE-2016-3906
- Guang Gong (龚广) ( @oldfresher ) من Alpha Team، Qihoo 360 Technology Co. Ltd .: CVE-2016-6754
- Jianqiang Zhao ( @jianqiangzhao ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-6739، CVE-2016-3904، CVE-2016-3907، CVE-2016-6698
- ماركو غراسي ( @marcograss ) من Keen Lab of Tencent ( @keen_lab ): CVE-2016-6828
- العلامة التجارية للمشروع Zero: CVE-2016-6706
- مارك رينوف من Google: CVE-2016-6724
- ميشال بيدنارسكي ( github.com/michalbednarski ): CVE-2016-6710
- Min Chong من Android Security: CVE-2016-6743
- Peter Pi ( @heisecode ) من Trend Micro: CVE-2016-6721
- تشيدان هي (何淇丹) ( @flanker_hqd ) وجينجمينج ليو (刘耕铭) ( @dmxcsnsbh ) من KeenLab، Tencent: CVE-2016-6705
- روبن لي من جوجل: CVE-2016-6708
- سكوت باور ( @ScottyBauer1 ): CVE-2016-6751
- سيرجي بوبروف ( @Black2Fan ) من Kaspersky Lab: CVE-2016-6716
- Seven Shen ( @lingtongshen ) من فريق أبحاث Trend Micro Mobile Threat Research: CVE-2016-6748، CVE-2016-6749، CVE-2016-6750، CVE-2016-6753
- فيكتور فان دير فين، وهيربرت بوس، وكافيه رضوي، وكريستيانو جيوفريدا من جامعة فريجي أمستردام، ويانيك فراتانتونيو، ومارتينا ليندورفر، وجيوفاني فيجنا من جامعة كاليفورنيا، سانتا باربرا: CVE-2016-6728
- Weichao Sun ( @sunblate ) من شركة Alibaba Inc: CVE-2016-6712، CVE-2016-6699، CVE-2016-6711
- Wenke Dou ( vancouverdou@gmail.com )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6720
- Wish Wu (吴潍浠) ( @wish_wu ) من شركة Trend Micro Inc.: CVE-2016-6704
- ياكوف شافرانوفيتش من Nightwatch Cybersecurity : CVE-2016-6723
- Yuan-Tsung Lo ، وYao Jun ، وTong Lin ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6730، CVE-2016-6732، CVE-2016-6734، CVE-2016-6736
- Yuan-Tsung Lo و Yao Jun و Xiaodong Wang و Chiachih Wu ( @chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6731، CVE-2016-6733، CVE-2016-6735، CVE-2016-6746
شكرًا إضافيًا لـ Zach Riggle من Android Security لمساهماته في العديد من القضايا في هذه النشرة.
01/11/2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-11-2016. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6699 | أ-31373622 | شديد الأهمية | الجميع | 7.0 | 27 يوليو 2016 |
رفع ثغرة الامتياز في ملف libzip
قد تؤدي زيادة ثغرة الامتيازات في ملف libzip إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6700 | أ-30916186 | شديد الأهمية | لا أحد* | 4.4.4، 5.0.2، 5.1.1 | 17 أغسطس 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Skia
يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libskia إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملفات الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية المعرض.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6701 | أ-30190637 | عالي | الجميع | 7.0 | جوجل الداخلية |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libjpeg
يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libjpeg إلى تمكين المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم libjpeg.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6702 | أ-30259087 | عالي | لا أحد* | 4.4.4، 5.0.2، 5.1.1 | 19 يوليو 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في وقت تشغيل Android
يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في مكتبة وقت تشغيل Android إلى تمكين المهاجم باستخدام حمولة مصممة خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم وقت تشغيل Android.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6703 | أ-30765246 | عالي | لا أحد* | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | جوجل الداخلية |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في Mediaserver
قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6704 | ا-30229821 [ 2 ] [ 3 ] | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 19 يوليو 2016 |
CVE-2016-6705 | ا-30907212 [ 2 ] | عالي | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 16 أغسطس 2016 |
CVE-2016-6706 | أ-31385713 | عالي | الجميع | 7.0 | 8 سبتمبر 2016 |
رفع ثغرة الامتياز في خادم النظام
قد تؤدي زيادة ثغرة الامتيازات في System Server إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6707 | أ-31350622 | عالي | الجميع | 6.0، 6.0.1، 7.0 | 7 سبتمبر 2016 |
رفع ثغرة الامتياز في واجهة مستخدم النظام
قد يؤدي رفع الامتياز في واجهة مستخدم النظام إلى تمكين مستخدم ضار محلي من تجاوز موجه الأمان لملف تعريف العمل في وضع النوافذ المتعددة. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم لأي تعديلات على إعدادات المطور أو الأمان.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6708 | أ-30693465 | عالي | الجميع | 7.0 | جوجل الداخلية |
ثغرة أمنية في الكشف عن المعلومات في Conscrypt
قد تؤدي ثغرة الكشف عن المعلومات في Conscrypt إلى تمكين المهاجم من الوصول إلى المعلومات الحساسة إذا تم استخدام واجهة برمجة تطبيقات التشفير القديمة بواسطة أحد التطبيقات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6709 | أ-31081987 | عالي | الجميع | 6.0، 6.0.1، 7.0 | 9 أكتوبر 2015 |
ثغرة الكشف عن المعلومات في مدير التحميل
قد تؤدي ثغرة الكشف عن المعلومات في مدير التنزيل إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6710 | ا-30537115 [ 2 ] | عالي | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 30 يوليو 2016 |
ثغرة أمنية في رفض الخدمة في البلوتوث
قد تؤدي ثغرة رفض الخدمة في البلوتوث إلى تمكين المهاجم القريب من منع وصول البلوتوث إلى الجهاز المتأثر. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2014-9908 | أ-28672558 | عالي | لا أحد* | 4.4.4، 5.0.2، 5.1.1 | 5 مايو 2014 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرة أمنية في رفض الخدمة في OpenJDK
قد تؤدي ثغرة رفض الخدمة عن بعد في OpenJDK إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2015-0410 | أ-30703445 | عالي | الجميع | 7.0 | 16 يناير 2015 |
الحرمان من ثغرة الخدمة في Mediaserver
قد تؤدي الثغرة الأمنية لرفض الخدمة عن بعد في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6711 | أ-30593765 | عالي | لا أحد* | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 1 أغسطس 2016 |
CVE-2016-6712 | أ-30593752 | عالي | لا أحد* | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 1 أغسطس 2016 |
CVE-2016-6713 | أ-30822755 | عالي | الجميع | 6.0، 6.0.1، 7.0 | 11 أغسطس 2016 |
CVE-2016-6714 | أ-31092462 | عالي | الجميع | 6.0، 6.0.1، 7.0 | 22 أغسطس 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع مستوى الضعف في الامتيازات في Framework APIs
قد يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة تطبيقات Framework إلى السماح لتطبيق ضار محلي بتسجيل الصوت دون إذن المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً بدء المستخدم أو إذن المستخدم).
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6715 | أ-29833954 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 28 يونيو 2016 |
رفع ثغرة الامتياز في AOSP Launcher
قد يؤدي رفع ثغرة الامتيازات في AOSP Launcher إلى السماح لتطبيق ضار محلي بإنشاء اختصارات ذات امتيازات مرتفعة دون موافقة المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً بدء المستخدم أو إذن المستخدم).
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6716 | أ-30778130 | معتدل | الجميع | 7.0 | 5 أغسطس 2016 |
رفع ثغرة الامتياز في Mediaserver
قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً استغلال ثغرة أمنية منفصلة.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6717 | أ-31350239 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 7 سبتمبر 2016 |
رفع ثغرة الامتياز في خدمة مدير الحساب
قد تؤدي زيادة ثغرة الامتيازات في خدمة مدير الحساب إلى تمكين تطبيق ضار محلي من استرداد معلومات حساسة دون تدخل المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً بدء المستخدم أو إذن المستخدم.)
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6718 | أ-30455516 | معتدل | الجميع | 7.0 | جوجل الداخلية |
رفع ثغرة الامتياز في البلوتوث
قد تؤدي زيادة ثغرة الامتياز في مكون Bluetooth إلى تمكين تطبيق ضار محلي من الاقتران بأي جهاز Bluetooth دون موافقة المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً بدء المستخدم أو إذن المستخدم).
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6719 | ا-29043989 [ 2 ] | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | جوجل الداخلية |
ثغرة الكشف عن المعلومات في Mediaserver
يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6720 | ا-29422020 [ 2 ] [ 3 ] [ 4 ] | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 15 يونيو 2016 |
CVE-2016-6721 | أ-30875060 | معتدل | الجميع | 6.0، 6.0.1، 7.0 | 13 أغسطس 2016 |
CVE-2016-6722 | أ-31091777 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 23 أغسطس 2016 |
ثغرة أمنية في رفض الخدمة في Proxy Auto Config
قد تؤدي ثغرة رفض الخدمة في Proxy Auto Config إلى تمكين المهاجم عن بعد من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب تكوينًا غير شائع للجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6723 | ا-30100884 [ 2 ] | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 11 يوليو 2016 |
رفض وجود ثغرة أمنية في خدمة إدارة الإدخال
قد تؤدي ثغرة رفض الخدمة في خدمة إدارة الإدخال إلى تمكين تطبيق ضار محلي من التسبب في إعادة تشغيل الجهاز باستمرار. تم تصنيف هذه المشكلة على أنها متوسطة لأنها عبارة عن رفض مؤقت للخدمة ويتطلب إعادة ضبط المصنع لإصلاحها.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6724 | أ-30568284 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | جوجل الداخلية |
05/11/2016 مستوى التصحيح الأمني — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-11-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في برنامج تشغيل التشفير Qualcomm
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل Qualcomm crypto إلى تمكين مهاجم عن بُعد من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في سياق النواة.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6725 | أ-30515053 مراقبة الجودة-CR#1050970 | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 25 يوليو 2016 |
رفع ثغرة الامتياز في نظام ملفات kernel
قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2015-8961 | أ-30952474 نواة المنبع | شديد الأهمية | بكسل، بكسل XL | 18 أكتوبر 2015 |
CVE-2016-7911 | أ-30946378 نواة المنبع | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 01 يوليو 2016 |
CVE-2016-7910 | أ-30942273 نواة المنبع | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 29 يوليو 2016 |
رفع ثغرة الامتياز في برنامج تشغيل kernel SCSI
يمكن أن تؤدي زيادة ثغرة الامتيازات في برنامج تشغيل kernel SCSI إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2015-8962 | أ-30951599 نواة المنبع | شديد الأهمية | بكسل، بكسل XL | 30 أكتوبر 2015 |
رفع ثغرة الامتياز في برنامج تشغيل وسائط kernel
قد تؤدي زيادة ثغرة الامتيازات في برنامج تشغيل وسائط kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-7913 | أ-30946097 نواة المنبع | شديد الأهمية | نيكزس 6P، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL | 28 يناير 2016 |
رفع ثغرة الامتياز في برنامج تشغيل USB الخاص بـ kernel
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل USB لـ kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-7912 | أ-30950866 نواة المنبع | شديد الأهمية | بكسل سي، بكسل، بكسل XL | 14 أبريل 2016 |
رفع ثغرة الامتياز في نظام kernel ION الفرعي
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6728 | أ-30400942* | شديد الأهمية | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان | 25 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في أداة تحميل التشغيل Qualcomm
قد تؤدي زيادة ثغرة الامتيازات في أداة تحميل التشغيل Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6729 | أ-30977990* مراقبة الجودة-CR#977684 | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 25 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6730 | أ-30904789* N-CVE-2016-6730 | شديد الأهمية | بكسل سي | 16 أغسطس 2016 |
CVE-2016-6731 | أ-30906023* N-CVE-2016-6731 | شديد الأهمية | بكسل سي | 16 أغسطس 2016 |
CVE-2016-6732 | أ-30906599* N-CVE-2016-6732 | شديد الأهمية | بكسل سي | 16 أغسطس 2016 |
CVE-2016-6733 | أ-30906694* N-CVE-2016-6733 | شديد الأهمية | بكسل سي | 16 أغسطس 2016 |
CVE-2016-6734 | أ-30907120* N-CVE-2016-6734 | شديد الأهمية | بكسل سي | 16 أغسطس 2016 |
CVE-2016-6735 | أ-30907701* N-CVE-2016-6735 | شديد الأهمية | بكسل سي | 16 أغسطس 2016 |
CVE-2016-6736 | أ-30953284* N-CVE-2016-6736 | شديد الأهمية | بكسل سي | 18 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في النظام الفرعي لشبكات kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لشبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6828 | أ-31183296 نواة المنبع | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 18 أغسطس 2016 |
رفع ثغرة الامتياز في النظام الفرعي للصوت kernel
قد تؤدي زيادة ثغرة الامتياز في النظام الفرعي للصوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-2184 | أ-30952477 نواة المنبع | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 31 مارس 2016 |
رفع ثغرة الامتياز في نظام kernel ION الفرعي
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6737 | أ-30928456* | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
ثغرات أمنية في مكونات كوالكوم
يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرة الأمان الخاصة بـ Qualcomm AMSS لشهر يونيو 2016 والتنبيه الأمني 80-NV606-17.
مكافحة التطرف العنيف | مراجع | خطورة* | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6727 | أ-31092400** | شديد الأهمية | أندرويد وان | كوالكوم الداخلية |
CVE-2016-6726 | أ-30775830** | عالي | نيكزس 6، أندرويد وان | كوالكوم الداخلية |
* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.
** التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Expat
يحتوي الجدول أدناه على الثغرات الأمنية التي تؤثر على مكتبة Expat. أخطر هذه المشكلات هو زيادة ثغرة الامتيازات في محلل Expat XML، والذي قد يمكّن المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في عملية لا تتمتع بامتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال تنفيذ تعليمات برمجية عشوائية في تطبيق يستخدم Expat.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-0718 | أ-28698301 | عالي | لا أحد* | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 10 مايو 2016 |
CVE-2012-6702 | أ-29149404 | معتدل | لا أحد* | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 06 مارس 2016 |
CVE-2016-5300 | أ-29149404 | معتدل | لا أحد* | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 04 يونيو 2016 |
CVE-2015-1283 | أ-27818751 | قليل | لا أحد* | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 24 يوليو 2015 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Webview
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Webview إلى تمكين المهاجم عن بعد من تنفيذ تعليمات برمجية عشوائية عندما ينتقل المستخدم إلى موقع ويب. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في عملية لا تتمتع بأي امتيازات.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2016-6754 | أ-31217937 | عالي | لا أحد* | 5.0.2، 5.1.1، 6.0، 6.0.1 | 23 أغسطس 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Freetype
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Freetype إلى تمكين تطبيق ضار محلي من تحميل خط مصمم خصيصًا للتسبب في تلف الذاكرة في عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في التطبيقات التي تستخدم Freetype.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
---|---|---|---|---|---|
CVE-2014-9675 | ا-24296662 [ 2 ] | عالي | لا أحد* | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | جوجل الداخلية |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في النظام الفرعي لأداء kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2015-8963 | أ-30952077 نواة المنبع | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 15 ديسمبر 2015 |
رفع ثغرة الامتياز في النظام الفرعي لتدقيق استدعاءات نظام kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لتدقيق مكالمات نظام kernel إلى تمكين تطبيق ضار محلي من تعطيل تدقيق مكالمات النظام في kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا عامًا لدفاع متعمق على مستوى kernel أو استغلال تقنية التخفيف.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6136 | أ-30956807 نواة المنبع | عالي | أندرويد وان، بكسل سي، نيكزس بلاير | 1 يوليو 2016 |
رفع ثغرة الامتياز في برنامج تشغيل محرك التشفير Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل محرك Qualcomm crypto إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6738 | أ-30034511 مراقبة الجودة-CR#1050538 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 7 يوليو 2016 |
رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6739 | أ-30074605* مراقبة الجودة-CR#1049826 | عالي | نيكزس 5X، نيكزس 6P، بكسل، بكسل XL | 11 يوليو 2016 |
CVE-2016-6740 | أ-30143904 مراقبة الجودة-CR#1056307 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 12 يوليو 2016 |
CVE-2016-6741 | أ-30559423 مراقبة الجودة-CR#1060554 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 28 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل ناقل Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل ناقل Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-3904 | أ-30311977 مراقبة الجودة-CR#1050455 | عالي | نيكزس 5X، نيكزس 6P، بكسل، بكسل XL | 22 يوليو 2016 |
رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6742 | أ-30799828* | عالي | نيكزس 5X، أندرويد وان | 9 أغسطس 2016 |
CVE-2016-6744 | أ-30970485* | عالي | نيكزس 5X | 19 أغسطس 2016 |
CVE-2016-6745 | أ-31252388* | عالي | نيكزس 5X، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل، بكسل XL | 1 سبتمبر 2016 |
CVE-2016-6743 | أ-30937462* | عالي | نيكزس 9، أندرويد وان | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات النواة
يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات kernel، بما في ذلك برنامج تشغيل جهاز الواجهة البشرية ونظام الملفات وبرنامج تشغيل Teletype، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2015-8964 | أ-30951112 نواة المنبع | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 27 نوفمبر 2015 |
CVE-2016-7915 | أ-30951261 نواة المنبع | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 19 يناير 2016 |
CVE-2016-7914 | أ-30513364 نواة المنبع | عالي | بكسل سي، بكسل، بكسل XL | 06 أبريل 2016 |
CVE-2016-7916 | أ-30951939 نواة المنبع | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 05 مايو 2016 |
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6746 | أ-30955105* N-CVE-2016-6746 | عالي | بكسل سي | 18 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
الحرمان من ثغرة الخدمة في Mediaserver
قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6747 | أ-31244612* N-CVE-2016-6747 | عالي | نيكزس 9 | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات النواة
يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات kernel، بما في ذلك النظام الفرعي لتجميع العمليات والنظام الفرعي للشبكات، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-7917 | أ-30947055 نواة المنبع | معتدل | بكسل سي، بكسل، بكسل XL | 02 فبراير 2016 |
CVE-2016-6753 | أ-30149174* | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير، بكسل، بكسل XL | 13 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات كوالكوم
يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات Qualcomm، بما في ذلك برنامج تشغيل GPU وبرنامج تشغيل الطاقة وبرنامج تشغيل SMSM Point-to-Point وبرنامج تشغيل الصوت، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-6748 | أ-30076504 مراقبة الجودة-CR#987018 | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 12 يوليو 2016 |
CVE-2016-6749 | أ-30228438 مراقبة الجودة-CR#1052818 | معتدل | نيكزس 5X، نيكزس 6P، بكسل، بكسل XL | 12 يوليو 2016 |
CVE-2016-6750 | أ-30312054 مراقبة الجودة-CR#1052825 | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 21 يوليو 2016 |
CVE-2016-3906 | أ-30445973 مراقبة الجودة-CR#1054344 | معتدل | نيكزس 5X، نيكزس 6P | 27 يوليو 2016 |
CVE-2016-3907 | أ-30593266 مراقبة الجودة-CR#1054352 | معتدل | نيكزس 5X، نيكزس 6P، بكسل، بكسل XL | 2 أغسطس 2016 |
CVE-2016-6698 | أ-30741851 مراقبة الجودة-CR#1058826 | معتدل | نيكزس 5X، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 2 أغسطس 2016 |
CVE-2016-6751 | أ-30902162* مراقبة الجودة-CR#1062271 | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 15 أغسطس 2016 |
CVE-2016-6752 | أ-31498159 مراقبة الجودة-CR#987051 | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
06/11/2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية المدرجة في مستوى تصحيح الأمان 2016-11-06 — ملخص الثغرات الأمنية أعلاه. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
رفع ثغرة الامتياز في النظام الفرعي لذاكرة kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
ملاحظة: يشير مستوى التصحيح الأمني بتاريخ 06/11/2016 إلى أن هذه المشكلة، بالإضافة إلى كافة المشكلات المرتبطة بتاريخي 01/11/2016 و05/11/2016 قد تمت معالجتها.
مكافحة التطرف العنيف | مراجع | خطورة | إصدارات النواة المحدثة | تاريخ الإبلاغ |
---|---|---|---|---|
CVE-2016-5195 | أ-32141528 نواة المنبع [ 2 ] | شديد الأهمية | 3.10، 3.18 | 12 أكتوبر 2016 |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟
لمعرفة كيفية التحقق من مستوى التصحيح الأمني للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .
- تتناول مستويات تصحيح الأمان 01-11-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 01-11-2016.
- تتناول مستويات تصحيح الأمان 05-11-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 05-11-2016 وجميع مستويات التصحيح السابقة.
- تتناول مستويات تصحيح الأمان 06-11-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 06-11-2016 وجميع مستويات التصحيح السابقة.
يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين سلسلة مستوى التصحيح على:
- [ro.build.version.security_patch]:[2016-11-01]
- [ro.build.version.security_patch]:[2016-11-05]
- [ro.build.version.security_patch]:[2016-11-06].
2. لماذا تحتوي هذه النشرة على ثلاثة مستويات من التصحيح الأمني؟
تحتوي هذه النشرة على ثلاثة مستويات من التصحيح الأمني بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 نوفمبر 2016 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 نوفمبر 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في هذه النشرة الأمنية (والسابقة).
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 6 نوفمبر 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).
يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google المتأثرة بكل مشكلة؟
في الأقسام 01-11-2016 و05-11-2016 و06-11-2016 ، يحتوي كل جدول على عمود أجهزة Google المحدثة الذي يغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus وPixel، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . يشمل "الكل" الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
- بعض أجهزة Google : إذا لم تؤثر المشكلة على جميع أجهزة Google، فسيتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
- لا توجد أجهزة Google : إذا لم تتأثر أي أجهزة Google تعمل بنظام التشغيل Android 7.0 بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Google المحدثة .
4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟
قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:
بادئة | مرجع |
---|---|
أ- | معرف خطأ أندرويد |
مراقبة الجودة- | الرقم المرجعي لشركة كوالكوم |
م- | الرقم المرجعي لميديا تيك |
ن- | الرقم المرجعي لـ NVIDIA |
ب- | الرقم المرجعي من برودكوم |
التنقيحات
- 07 نوفمبر 2016: نشر النشرة.
- 08 نوفمبر: تمت مراجعة النشرة لتشمل روابط AOSP والوصف المحدث لـ CVE-2016-6709.
- 17 نوفمبر: تمت مراجعة النشرة لتشمل إسناد CVE-2016-6828.
- 21 ديسمبر: تحديث رصيد الباحث.