تم النشر في 05 ديسمبر 2016 | تم التحديث في 21 ديسمبر 2016
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Google من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 ديسمبر 2016 أو الإصدارات الأحدث جميع هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني للجهاز.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 07 نوفمبر 2016 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات في مستودع Android Open Source Project (AOSP) وتم ربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.
أخطر هذه المشكلات هي الثغرات الأمنية الخطيرة في التعليمات البرمجية الخاصة بالجهاز والتي يمكن أن تتيح تنفيذ تعليمات برمجية عشوائية في سياق النواة، مما يؤدي إلى احتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز . يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 01/12/2016 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بتاريخ 01/12/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- 05/12/2016 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بـ 01/12/2016 و05/12/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- ستتلقى أجهزة Google المدعومة تحديثًا واحدًا عبر الهواء مع مستوى تصحيح الأمان بتاريخ 05 ديسمبر 2016.
عمليات تخفيف خدمات Android وGoogle
هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة، مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
ونود أن نشكر هؤلاء الباحثين على مساهماتهم:
- Baozeng Ding، وChengming Yang، وPeng Xiao، وNing You، وYang Dong، وChao Yang، وYi Zhang، وYang Song من Alibaba Mobile Security Group: CVE-2016-6783، CVE-2016-6784، CVE-2016-6785
- Chi Zhang وMingjian Zhou ( @Mingjian_Zhou ) وChiachih Wu ( @chiachih_wu ) وXuxian Jiang من فريق C0RE : CVE-2016-6789، CVE-2016-6790
- كريستيان سيل: CVE-2016-6769
- ديفيد بنجامين وكيني روت من Google: CVE-2016-6767
- دي شين ( @returnsme ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-6776، CVE-2016-6787
- En He ( @heeeeen4x ) من MS509Team : CVE-2016-6763
- Gengjia Chen ( @chengjia4574 )، pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-6779، CVE-2016-6778، CVE-2016-8401، CVE-2016-8402، CVE-2016-8403، CVE-2016-8409، CVE-2016-8408، CVE-2016-8404
- Jianqiang Zhao ( @jianqiangzhao ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd: CVE-2016-6788، CVE-2016-6781، CVE-2016-6782، CVE-2016-8396
- Lubo Zhang و Tong Lin و Yuan-Tsung Lo و Chiachih Wu ( @chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6791، CVE-2016-8391، CVE-2016-8392
- العلامة التجارية للمشروع Zero: CVE-2016-6772
- ميشال بدنارسكي : CVE-2016-6770، CVE-2016-6774
- Mingjian Zhou ( @Mingjian_Zhou )، وChi Zhang ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6761، CVE-2016-6759، CVE-2016-8400
- Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6760
- Mingjian Zhou ( @Mingjian_Zhou )، وHanxiang Wen ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6759
- ناثان كراندال ( @natecray ) من فريق أمان منتجات Tesla Motors: CVE-2016-6915، CVE-2016-6916، CVE-2016-6917
- Nightwatch Cybersecurity Research ( @nightwatchcyber ): CVE-2016-5341
- Pengfei Ding (丁鹏飞)، Chenfu Bao (包沉浮)، Lenx Wei (韦韬) من Baidu X-Lab: CVE-2016-6755، CVE-2016-6756
- بيتر باي ( @heisecode ) من Trend Micro: CVE-2016-8397، CVE-2016-8405، CVE-2016-8406، CVE-2016-8407
- تشيدان هي (何淇丹) ( @flanker_hqd ) من KeenLab، Tencent (腾讯科恩实验室): CVE-2016-8399، CVE-2016-8395
- تشيدان هي (何淇丹) ( @flanker_hqd ) وماركو غراسي ( @marcograss ) من KeenLab، Tencent (腾讯科恩实验室): CVE-2016-6768
- ريتشارد شوباك: CVE-2016-5341
- ساجي كيدمي من IBM X-Force Research: CVE-2016-8393، CVE-2016-8394
- Seven Shen ( @lingtongshen ) من فريق أبحاث التهديدات المتنقلة، شركة Trend Micro Inc.: CVE-2016-6757
- Weichao Sun ( @sunblate ) من شركة Alibaba Inc.: CVE-2016-6773
- Wenke Dou و Chi Zhang و Chiachih Wu ( @chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6765
- Wish Wu ( @wish_wu ) (吴潍浠) من Mobile Threat Response Team ، Trend Micro Inc .: CVE-2016-6704
- Yuan-Tsung Lo ، وTong Lin ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6786، CVE-2016-6780، CVE-2016-6775
- Yuan-Tsung Lo ، وXiaodong Wang ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6777
- Yuxiang Li من قسم Tencent Security Platform: CVE-2016-6771
- Zhe Jin (金哲) من مركز الاستجابة الأمنية Chengdu، Qihoo 360 Technology Co. Ltd.: CVE-2016-6764، CVE-2016-6766
- Zinuo Han من مركز الاستجابة الأمنية Chengdu التابع لشركة Qihoo 360 Technology Co. Ltd.: CVE-2016-6762
شكرًا إضافيًا لأشكر MengLuo Gou ( @idhyt3r ) من شركة Bottle Tech، وYong Wang (王勇) ( @ThomasKing2014 )، وZubin Mithra من Google على مساهماتهم في هذه النشرة الأمنية.
01/12/2016 مستوى التصحيح الأمني — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-12-01. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في CURL/LIBCURL
يحتوي الجدول على ثغرات أمنية تؤثر على مكتبتي CURL وLIBCURL. يمكن أن تؤدي المشكلة الأكثر خطورة إلى تمكين مهاجم الوسيط باستخدام شهادة مزورة لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لأن المهاجم يحتاج إلى شهادة مزورة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-5419 | أ-31271247 | عالي | الجميع | 7.0 | 3 أغسطس 2016 |
| CVE-2016-5420 | أ-31271247 | عالي | الجميع | 7.0 | 3 أغسطس 2016 |
| CVE-2016-5421 | أ-31271247 | عالي | الجميع | 7.0 | 3 أغسطس 2016 |
رفع ثغرة الامتياز في libziparchive
يمكن أن تؤدي زيادة ثغرة الامتيازات في مكتبة libziparchive إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6762 | ا-31251826 [ 2 ] | عالي | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 28 أغسطس 2016 |
الحرمان من ثغرة الخدمة في الاتصالات الهاتفية
قد تؤدي ثغرة رفض الخدمة في الاتصالات الهاتفية إلى تمكين تطبيق ضار محلي من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة محليًا بشكل دائم.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6763 | أ-31530456 | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 12 سبتمبر 2016 |
الحرمان من ثغرة الخدمة في Mediaserver
قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6766 | أ-31318219 | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 5 سبتمبر 2016 |
| CVE-2016-6765 | أ-31449945 | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 7.0 | 13 سبتمبر 2016 |
| CVE-2016-6764 | أ-31681434 | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 22 سبتمبر 2016 |
| CVE-2016-6767 | أ-31833604 | عالي | لا أحد* | 4.4.4 | جوجل الداخلية |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في مكتبة Framesequence
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في مكتبة Framesequence إلى تمكين المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بأي امتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في تطبيق يستخدم مكتبة Framesequence.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6768 | أ-31631842 | عالي | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 19 سبتمبر 2016 |
رفع ثغرة الامتياز في Smart Lock
قد تؤدي زيادة ثغرة الامتيازات في Smart Lock إلى تمكين مستخدم ضار محلي من الوصول إلى إعدادات Smart Lock دون رقم PIN. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً الوصول الفعلي إلى جهاز غير مؤمّن حيث كان Smart Lock هو آخر جزء من الإعدادات يصل إليه المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6769 | أ-29055171 | معتدل | لا أحد* | 5.0.2، 5.1.1، 6.0، 6.0.1 | 27 مايو 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع مستوى الضعف في الامتيازات في Framework APIs
قد تؤدي زيادة ثغرة الامتياز في Framework API إلى تمكين تطبيق ضار محلي من الوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا للقيود المفروضة على عملية مقيدة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6770 | أ-30202228 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 16 يوليو 2016 |
ارتفاع ثغرة الامتياز في الاتصالات الهاتفية
قد تؤدي زيادة ثغرة الامتيازات في الاتصالات الهاتفية إلى تمكين تطبيق ضار محلي من الوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا للقيود المفروضة على عملية مقيدة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6771 | أ-31566390 | معتدل | الجميع | 6.0، 6.0.1، 7.0 | 17 سبتمبر 2016 |
رفع ثغرة الامتياز في شبكة Wi-Fi
قد تؤدي زيادة ثغرة الامتيازات في شبكة Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6772 | ا-31856351 [ 2 ] | معتدل | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 30 سبتمبر 2016 |
ثغرة الكشف عن المعلومات في Mediaserver
يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6773 | ا-30481714 [ 2 ] | معتدل | الجميع | 6.0، 6.0.1، 7.0 | 27 يوليو 2016 |
ثغرة أمنية في الكشف عن المعلومات في مدير الحزم
قد تؤدي ثغرة الكشف عن المعلومات في مدير الحزم إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6774 | أ-31251489 | معتدل | الجميع | 7.0 | 29 أغسطس 2016 |
05/12/2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-12-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
رفع ثغرة الامتياز في النظام الفرعي لذاكرة kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-4794 | أ-31596597 نواة المنبع [ 2 ] | شديد الأهمية | بكسل سي، بكسل، بكسل XL | 17 أبريل 2016 |
| CVE-2016-5195 | أ-32141528 نواة المنبع [ 2 ] | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 12 أكتوبر 2016 |
رفع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6775 | أ-31222873* N-CVE-2016-6775 | شديد الأهمية | نيكزس 9 | 25 أغسطس 2016 |
| CVE-2016-6776 | أ-31680980* N-CVE-2016-6776 | شديد الأهمية | نيكزس 9 | 22 سبتمبر 2016 |
| CVE-2016-6777 | أ-31910462* N-CVE-2016-6777 | شديد الأهمية | نيكزس 9 | 3 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في النواة
قد يؤدي ارتفاع ثغرة الامتيازات في kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8966 | أ-31435731 نواة المنبع | شديد الأهمية | لا أحد* | 10 سبتمبر 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6915 | أ-31471161* N-CVE-2016-6915 | شديد الأهمية | نيكزس 9 | 13 سبتمبر 2016 |
| CVE-2016-6916 | أ-32072350* N-CVE-2016-6916 | شديد الأهمية | نيكزس 9، بكسل سي | 13 سبتمبر 2016 |
| CVE-2016-6917 | أ-32072253* N-CVE-2016-6917 | شديد الأهمية | نيكزس 9 | 13 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل kernel ION
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-9120 | أ-31568617 نواة المنبع | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل سي، نيكزس بلاير | 16 سبتمبر 2016 |
ثغرات أمنية في مكونات كوالكوم
تؤثر الثغرات الأمنية التالية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرة Qualcomm AMSS الأمنية لشهر نوفمبر 2015.
| مكافحة التطرف العنيف | مراجع | خطورة* | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8411 | أ-31805216** | شديد الأهمية | نيكزس 6، نيكزس 6P، أندرويد وان | كوالكوم الداخلية |
* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.
** التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في نظام ملفات kernel
قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-4014 | أ-31252187 نواة المنبع | عالي | نيكزس 6، نيكزس بلاير | 10 يونيو 2014 |
رفع ثغرة الامتياز في النواة
يمكن أن تؤدي زيادة ثغرة الامتيازات في kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً استغلال ثغرة أمنية منفصلة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8967 | أ-31703084 نواة المنبع | عالي | نيكزس 5X، نيكزس 6P، نيكزس 9، بكسل C، بكسل، بكسل XL | 8 يناير 2015 |
رفع ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت HTC
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت HTC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6778 | أ-31384646* | عالي | نيكزس 9 | 25 فبراير 2016 |
| CVE-2016-6779 | أ-31386004* | عالي | نيكزس 9 | 25 فبراير 2016 |
| CVE-2016-6780 | أ-31251496* | عالي | نيكزس 9 | 30 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل MediaTek
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6492 | أ-28175122 MT-ALPS02696413 | عالي | لا أحد* | 11 أبريل 2016 |
| CVE-2016-6781 | أ-31095175 MT-ALPS02943455 | عالي | لا أحد* | 22 أغسطس 2016 |
| CVE-2016-6782 | أ-31224389 MT-ALPS02943506 | عالي | لا أحد* | 24 أغسطس 2016 |
| CVE-2016-6783 | أ-31350044 MT-ALPS02943437 | عالي | لا أحد* | 6 سبتمبر 2016 |
| CVE-2016-6784 | أ-31350755 MT-ALPS02961424 | عالي | لا أحد* | 6 سبتمبر 2016 |
| CVE-2016-6785 | أ-31748056 MT-ALPS02961400 | عالي | لا أحد* | 25 سبتمبر 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع مستوى الضعف في الامتيازات في برامج ترميز وسائط Qualcomm
قد تؤدي زيادة ثغرة الامتيازات في برامج ترميز وسائط Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6761 | أ-29421682* مراقبة الجودة-CR#1055792 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL | 16 يونيو 2016 |
| CVE-2016-6760 | أ-29617572* مراقبة الجودة-CR#1055783 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL | 23 يونيو 2016 |
| CVE-2016-6759 | أ-29982686* مراقبة الجودة-CR#1055766 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL | 4 يوليو 2016 |
| CVE-2016-6758 | أ-30148882* مراقبة الجودة-CR#1071731 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL | 13 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6755 | أ-30740545 مراقبة الجودة-CR#1065916 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 3 أغسطس 2016 |
رفع ثغرة الامتياز في النظام الفرعي لأداء kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6786 | A-30955111 نواة المنبع | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 18 أغسطس 2016 |
| CVE-2016-6787 | A-31095224 نواة المنبع | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 22 أغسطس 2016 |
رفع ثغرة الامتياز في برنامج تشغيل MediaTek I2C
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek I2C إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6788 | أ-31224428 MT-ALPS02943467 | عالي | لا أحد* | 24 أغسطس 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في مكتبة NVIDIA libomx
يمكن أن تؤدي زيادة ثغرة الامتيازات في مكتبة NVIDIA libomx (libnvomx) إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6789 | أ-31251973* N-CVE-2016-6789 | عالي | بكسل سي | 29 أغسطس 2016 |
| CVE-2016-6790 | أ-31251628* N-CVE-2016-6790 | عالي | بكسل سي | 28 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6791 | أ-31252384 مراقبة الجودة-CR#1071809 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 31 أغسطس 2016 |
| CVE-2016-8391 | أ-31253255 مراقبة الجودة-CR#1072166 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 31 أغسطس 2016 |
| CVE-2016-8392 | أ-31385862 مراقبة الجودة-CR#1073136 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 8 سبتمبر 2016 |
رفع ثغرة الامتياز في النظام الفرعي لأمان kernel
يمكن أن تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-7872 | أ-31253168 نواة المنبع | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL | 31 أغسطس 2016 |
رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8393 | أ-31911920* | عالي | نيكزس 5X، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل، بكسل XL | 8 سبتمبر 2016 |
| CVE-2016-8394 | أ-31913197* | عالي | نيكزس 9، أندرويد وان | 8 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9909 | أ-31676542 ب-رب #26684 | عالي | لا أحد* | 21 سبتمبر 2016 |
| CVE-2014-9910 | أ-31746399 ب-رب #26710 | عالي | لا أحد* | 26 سبتمبر 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8396 | أ-31249105 | عالي | لا أحد* | 26 أغسطس 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8397 | أ-31385953* N-CVE-2016-8397 | عالي | نيكزس 9 | 8 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
الحرمان من ثغرة الخدمة في نظام تحديد المواقع
قد تؤدي ثغرة رفض الخدمة في مكون Qualcomm GPS إلى تمكين مهاجم عن بعد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5341 | أ-31470303* | عالي | نيكزس 6، نيكزس 5X، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل، بكسل XL | 21 يونيو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
الحرمان من ثغرة الخدمة في برنامج تشغيل الكاميرا NVIDIA
قد تؤدي ثغرة رفض الخدمة في برنامج تشغيل كاميرا NVIDIA إلى تمكين المهاجم من التسبب في رفض الخدمة المحلي الدائم، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة محليًا بشكل دائم.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8395 | أ-31403040* N-CVE-2016-8395 | عالي | بكسل سي | 9 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في النظام الفرعي لشبكات kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لشبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة كما أن تحسينات برنامج التحويل البرمجي الحالية تقيد الوصول إلى التعليمات البرمجية المعرضة للخطر.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8399 | أ-31349935* | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 5 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات كوالكوم
يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات Qualcomm، بما في ذلك برنامج تشغيل الكاميرا وبرنامج تشغيل الفيديو، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6756 | أ-29464815 مراقبة الجودة-CR#1042068 [ 2 ] | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 17 يونيو 2016 |
| CVE-2016-6757 | أ-30148242 مراقبة الجودة-CR#1052821 | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL | 13 يوليو 2016 |
ثغرة أمنية في الكشف عن المعلومات في مكتبة NVIDIA librm
يمكن أن تؤدي ثغرة أمنية في الكشف عن المعلومات في مكتبة NVIDIA librm (libnvrm) إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8400 | أ-31251599* N-CVE-2016-8400 | معتدل | بكسل سي | 29 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات النواة
يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات kernel بما في ذلك نظام ION الفرعي وBinder وبرنامج تشغيل USB والنظام الفرعي للشبكة إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8401 | أ-31494725* | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 13 سبتمبر 2016 |
| CVE-2016-8402 | أ-31495231* | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 13 سبتمبر 2016 |
| CVE-2016-8403 | أ-31495348* | معتدل | نيكزس 9 | 13 سبتمبر 2016 |
| CVE-2016-8404 | أ-31496950* | معتدل | نيكزس 9 | 13 سبتمبر 2016 |
| CVE-2016-8405 | أ-31651010* | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 21 سبتمبر 2016 |
| CVE-2016-8406 | أ-31796940* | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 27 سبتمبر 2016 |
| CVE-2016-8407 | أ-31802656* | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 28 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8408 | أ-31496571* N-CVE-2016-8408 | معتدل | نيكزس 9 | 13 سبتمبر 2016 |
| CVE-2016-8409 | أ-31495687* N-CVE-2016-8409 | معتدل | نيكزس 9 | 13 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8410 | أ-31498403 مراقبة الجودة-CR#987010 | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | جوجل الداخلية |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟
لمعرفة كيفية التحقق من مستوى التصحيح الأمني للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .
- تعالج مستويات تصحيح الأمان 01-12-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 01-12-2016.
- تتناول مستويات تصحيح الأمان 2016-12-05 أو الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2016-12-05 وجميع مستويات التصحيح السابقة.
يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2016-12-01]
- [ro.build.version.security_patch]:[2016-12-05]
2. لماذا تحتوي هذه النشرة على مستويين من التصحيح الأمني؟
تحتوي هذه النشرة على مستويين من التصحيح الأمني بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 ديسمبر 2016 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 ديسمبر 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في هذه النشرة الأمنية (والسابقة).
يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google المتأثرة بكل مشكلة؟
في قسمي تفاصيل الثغرات الأمنية 01-12-2016 و05-12-2016 ، يحتوي كل جدول على عمود أجهزة Google المحدثة الذي يغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على الكل وأجهزة Pixel، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . يشمل "الكل" الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
- بعض أجهزة Google : إذا لم تؤثر المشكلة على جميع أجهزة Google، فسيتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
- لا توجد أجهزة Google : إذا لم تتأثر أي أجهزة Google تعمل بنظام التشغيل Android 7.0 بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Google المحدثة .
4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟
قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:
| بادئة | مرجع |
|---|---|
| أ- | معرف خطأ أندرويد |
| مراقبة الجودة- | الرقم المرجعي لشركة كوالكوم |
| م- | الرقم المرجعي لميديا تيك |
| ن- | الرقم المرجعي لـ NVIDIA |
| ب- | الرقم المرجعي من برودكوم |
التنقيحات
- 05 ديسمبر 2016: نشر النشرة.
- 07 ديسمبر 2016: تمت مراجعة النشرة لتشمل روابط AOSP والإسناد المحدث لـ CVE-2016-6915 وCVE-2016-6916 وCVE-2016-6917.
- 21 ديسمبر 2016: تم تصحيح الأخطاء المطبعية في وصف CVE-2016-8411 والأسئلة والأجوبة الشائعة.