نشرت في 03 يناير 2017 | تم التحديث في 2 فبراير 2017
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، أصدرنا تحديثًا أمنيًا لأجهزة Google من خلال تحديث عبر الأثير (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 05 كانون الثاني (يناير) 2017 أو ما بعده تعالج كل هذه المشكلات. راجع الجدول الزمني لتحديث Pixel و Nexus للتعرف على كيفية التحقق من مستوى تصحيح أمان الجهاز.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 5 ديسمبر 2016 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP) وربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.
إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بشكل أسرع. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 2017-01-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2017-01-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- 2017-01-05 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2017-01-01 و 2017-01-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- ستتلقى أجهزة Google المدعومة تحديث OTA واحد مع مستوى تصحيح الأمان في 05 يناير 2017.
ملخص الثغرات الأمنية
تحتوي الجداول أدناه على قائمة بالثغرات الأمنية ، ومعرّف الثغرات الأمنية الشائعة والتعرضات (CVE) ، والخطورة التي تم تقييمها ، وما إذا كانت أجهزة Google تتأثر أم لا. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
عمليات التخفيف من خدمة Android و Google
هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي للأمان في Android وإجراءات حماية الخدمة ، مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
نود أن نشكر هؤلاء الباحثين على مساهماتهم:
- الكسندرو بلاندا: CVE-2017-0390
- Daniel Micay من Copperhead Security: CVE-2017-0397
- Daxing Guo ( @ freener0 ) من Xuanwu Lab ، Tencent: CVE-2017-0386
- derrek ( @ derrekr6 ): CVE-2017-0392
- Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، Tencent: CVE-2016-8412 ، CVE-2016-8444 ، CVE-2016-8427 ، CVE-2017-0403
- donfos (Aravind Machiry) من فريق Shellphish Grill ، جامعة كاليفورنيا سانتا باربرا: CVE-2016-8448 ، CVE-2016-8470 ، CVE-2016-8471 ، CVE-2016-8472
- En He ( @ heeeeen4x ) من MS509Team : CVE-2017-0394
- Gengjia Chen ( @ chengjia4574 ) و pjf of IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-8464
- فريق Google WebM: CVE-2017-0393
- Guang Gong (龚 广) ( oldfresher ) من فريق Alpha ، Qihoo 360 Technology Co. Ltd .: CVE-2017-0387
- Hao Chen و Guang Gong من فريق Alpha ، Qihoo 360 Technology Co. Ltd: CVE-2016-8415، CVE-2016-8454، CVE-2016-8455، CVE-2016-8456، CVE-2016-8457، CVE-2016 -8465
- Jianqiang Zhao ( jianqiangzhao ) و pjf من IceSword Lab ، Qihoo 360: CVE-2016-8475
- جون سوير ( jcase ) وشون بيوبري ( firewaterdevs ): CVE-2016-8462
- جون سوير ( jcase ) ، وشون بيوبري ( firewaterdevs ) ، وبن أكتيس ( Ben_RA ): CVE-2016-8461
- Mingjian Zhou ( Mingjian_Zhou ) و Yuqi Lu ( @ nikos233 ) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0383
- Monk Avel: CVE-2017-0396، CVE-2017-0399
- Peter Pi ( heisecode ) من Trend Micro: CVE-2016-8469، CVE-2016-8424، CVE-2016-8428، CVE-2016-8429، CVE-2016-8460، CVE-2016-8473، CVE-2016- 8474
- Qidan He (何 淇 丹) ( flanker_hqd ) من KeenLab ، تينسنت (腾讯 科恩 实验室): CVE-2017-0382
- Roee Hay و Michael Goberman من IBM Security X-Force: CVE-2016-8467
- Seven Shen ( lingtongshen ) من فريق Trend Micro Mobile Threat Research Team: CVE-2016-8466
- ستيفن مورو: CVE-2017-0389
- VEO ( VYSEa ) من فريق Mobile Threat Research Team ، Trend Micro : CVE-2017-0381
- Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2017-0391
- Wenke Dou و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0402، CVE-2017-0398
- Wenke Dou و Hanxiang Wen و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0400
- Wenke Dou و Hongli Han و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0384، CVE-2017-0385
- Wenke Dou و Yuqi Lu ( @ nikos233 ) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0401
- Yao Jun و Yuan-Tsung Lo و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-8431، CVE-2016-8432، CVE-2016-8435
- Yong Wang (王勇) ( ThomasKing2014 ) و Jun Cheng من Alibaba Inc .: CVE-2017-0404
- Yuan-Tsung Lo و Tong Lin و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-8425، CVE-2016-8426، CVE-2016-8449
- Yuan-Tsung Lo و Yanfeng Wang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-8430، CVE-2016-8482
- Yuxiang Li ( @ Xbalien29 ) من Tencent Security Platform Department: CVE-2017-0395
- Zhanpeng Zhao (行 之) ( @ 0xr0ot ) من مختبر أبحاث الأمان ، Cheetah Mobile : CVE-2016-8451
كما نود أن نشكر الباحثين التالية أسماؤهم على مساهماتهم في هذه النشرة:
- باوزنغ دينغ ، تشنغمينغ يانغ ، بنغ شياو ، نينغ يو ، يانغ دونغ ، تشاو يانغ ، يي زانغ ويانغ سونغ من مجموعة علي بابا موبايل سيكيوريتي غروب
- Peter Pi ( heisecode ) من Trend Micro
- زوبين ميثرا من جوجل
2017-01-01 مستوى تصحيح الأمان — تفاصيل الثغرة الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2017-01-01. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في c-ares
قد تؤدي الثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد في c-ares إلى تمكين المهاجم باستخدام طلب مُعد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في أحد التطبيقات التي تستخدم هذه المكتبة.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-5180 | أ -32205736 | عالٍ | الجميع | 7.0 | 29 سبتمبر 2016 |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Framesequence
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في مكتبة Framesequence إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بامتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم مكتبة Framesequence.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0382 | أ -32338390 | عالٍ | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 21 أكتوبر 2016 |
رفع ثغرة أمنية في الامتيازات في واجهات برمجة تطبيقات Framework
قد يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة تطبيقات Framework إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0383 | A-31677614 | عالٍ | الجميع | 7.0 ، 7.1.1 | 21 سبتمبر 2016 |
ارتفاع ضعف الامتياز في Audioserver
يمكن أن يؤدي ارتفاع ثغرة الامتياز في Audioserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0384 | أ -32095626 | عالٍ | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 11 أكتوبر 2016 |
| CVE-2017-0385 | A-32585400 | عالٍ | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 11 أكتوبر 2016 |
رفع مستوى ضعف الامتياز في libnl
قد يؤدي ارتفاع ثغرة الامتياز في مكتبة libnl إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0386 | A-32255299 | عالٍ | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 18 أكتوبر 2016 |
رفع مستوى ضعف الامتياز في Mediaserver
يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0387 | أ -32660278 | عالٍ | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 4 نوفمبر 2016 |
ثغرة الكشف عن المعلومات في مزود التخزين الخارجي
قد تؤدي ثغرة الكشف عن المعلومات في موفر التخزين الخارجي إلى تمكين المستخدم الثانوي المحلي من قراءة البيانات من بطاقة SD للتخزين الخارجي تم إدخالها بواسطة المستخدم الأساسي. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0388 | A-32523490 | عالٍ | الجميع | 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | جوجل الداخلية |
الحرمان من ضعف الخدمة في الشبكات الأساسية
قد يؤدي رفض وجود ثغرة أمنية في الشبكة الأساسية إلى تمكين المهاجم عن بُعد من استخدام حزمة شبكة مُعدة خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0389 | A-31850211 [ 2 ] [ 3 ] | عالٍ | الجميع | 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 20 يوليو 2016 |
ضعف رفض الخدمة في Mediaserver
قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم عن بُعد من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تعطل الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0390 | A-31647370 | عالٍ | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 19 سبتمبر 2016 |
| CVE-2017-0391 | A-32322258 | عالٍ | الجميع | 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 20 أكتوبر 2016 |
| CVE-2017-0392 | A-32577290 | عالٍ | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 29 أكتوبر 2016 |
| CVE-2017-0393 | أ -30436808 | عالٍ | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | جوجل الداخلية |
ضعف رفض الخدمة في الهتفية
قد يؤدي رفض وجود ثغرة أمنية في الخدمة في الهتفية إلى تمكين مهاجم بعيد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0394 | أ -31752213 | عالٍ | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 23 سبتمبر 2016 |
ارتفاع ثغرة أمنية في الامتيازات في جهات الاتصال
قد يؤدي ارتفاع ثغرة أمنية في الامتيازات في جهات الاتصال إلى تمكين تطبيق ضار محلي من إنشاء معلومات جهة اتصال بصمت. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً إما بدء المستخدم أو إذن المستخدم).
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0395 | A-32219099 | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 15 أكتوبر 2016 |
ضعف الكشف عن المعلومات في Mediaserver
قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0381 | A-31607432 | معتدل | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 18 سبتمبر 2016 |
| CVE-2017-0396 | A-31781965 | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 27 سبتمبر 2016 |
| CVE-2017-0397 | A-32377688 | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 21 أكتوبر 2016 |
ثغرة الكشف عن المعلومات في Audioserver
قد تؤدي ثغرة الكشف عن المعلومات في Audioserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0398 | A-32438594 | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0398 | أ -32635664 | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0398 | A-32624850 | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0399 | A-32247948 [ 2 ] | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 18 أكتوبر 2016 |
| CVE-2017-0400 | A-32584034 [ 2 ] | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0401 | A-32448258 | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 26 أكتوبر 2016 |
| CVE-2017-0402 | A-32436341 [ 2 ] | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 25 أكتوبر 2016 |
2017-01-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية يتم تطبيقها على مستوى التصحيح 2017-01-05. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
ارتفاع ضعف الامتياز في النظام الفرعي لذاكرة kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2015-3288 | أ -32460277 نواة المنبع | حرج | Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 9 يوليو 2015 |
زيادة ضعف الامتيازات في محمل إقلاع Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في محمل إقلاع Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8422 | A-31471220 QC-CR # 979426 | حرج | Nexus 6 و Nexus 6P و Pixel و Pixel XL | 22 يوليو 2016 |
| CVE-2016-8423 | A-31399736 QC-CR # 1000546 | حرج | Nexus 6P ، Pixel ، Pixel XL | 24 أغسطس 2016 |
ارتفاع ضعف الامتياز في نظام ملفات kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2015-5706 | أ -32289301 نواة المنبع | حرج | لا أحد* | 1 أغسطس 2016 |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
ارتفاع ثغرة أمنية في برنامج تشغيل NVIDIA GPU
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8424 | A-31606947 * N-CVE-2016-8424 | حرج | نيكزس 9 | 17 سبتمبر 2016 |
| CVE-2016-8425 | A-31797770 * N-CVE-2016-8425 | حرج | نيكزس 9 | 28 سبتمبر 2016 |
| CVE-2016-8426 | A-31799206 * N-CVE-2016-8426 | حرج | نيكزس 9 | 28 سبتمبر 2016 |
| CVE-2016-8482 | A-31799863 * N-CVE-2016-8482 | حرج | نيكزس 9 | 28 سبتمبر 2016 |
| CVE-2016-8427 | A-31799885 * N-CVE-2016-8427 | حرج | نيكزس 9 | 28 سبتمبر 2016 |
| CVE-2016-8428 | A-31993456 * N-CVE-2016-8428 | حرج | نيكزس 9 | 6 أكتوبر 2016 |
| CVE-2016-8429 | A-32160775 * N-CVE-2016-8429 | حرج | نيكزس 9 | 13 أكتوبر 2016 |
| CVE-2016-8430 | A-32225180 * N-CVE-2016-8430 | حرج | نيكزس 9 | 17 أكتوبر 2016 |
| CVE-2016-8431 | A-32402179 * N-CVE-2016-8431 | حرج | بكسل سي | 25 أكتوبر 2016 |
| CVE-2016-8432 | A-32447738 * N-CVE-2016-8432 | حرج | بكسل سي | 26 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج MediaTek
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8433 | A-31750190 * MT-ALPS02974192 | حرج | لا أحد** | 24 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
** لا تتأثر أجهزة Google المدعومة على نظام التشغيل Android 7.0 أو الأحدث والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
رفع مستوى ضعف الامتياز في برنامج تشغيل Qualcomm GPU
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8434 | أ -32125137 QC-CR # 1081855 | حرج | Nexus 5X و Nexus 6 و Nexus 6P و Android One | 12 أكتوبر 2016 |
ارتفاع ثغرة أمنية في برنامج تشغيل NVIDIA GPU
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8435 | A-32700935 * N-CVE-2016-8435 | حرج | بكسل سي | 7 نوفمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
زيادة ضعف الامتياز في برنامج تشغيل الفيديو Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8436 | A-32450261 QC-CR # 1007860 | حرج | لا أحد* | 13 أكتوبر 2016 |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
نقاط الضعف في مكونات Qualcomm
تؤثر الثغرات الأمنية التالية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرات الأمان Qualcomm AMSS لشهر نوفمبر 2015 وأغسطس 2016 وسبتمبر 2016 وأكتوبر 2016.
| CVE | مراجع | خطورة* | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8438 | A-31624565 ** | حرج | لا أحد*** | كوالكوم داخلي |
| CVE-2016-8442 | A-31625910 ** | حرج | لا أحد*** | كوالكوم داخلي |
| CVE-2016-8443 | A-32576499 ** | حرج | لا أحد*** | كوالكوم داخلي |
| CVE-2016-8437 | A-31623057 ** | عالٍ | لا أحد*** | كوالكوم داخلي |
| CVE-2016-8439 | A-31625204 ** | عالٍ | لا أحد*** | كوالكوم داخلي |
| CVE-2016-8440 | A-31625306 ** | عالٍ | لا أحد*** | كوالكوم داخلي |
| CVE-2016-8441 | A-31625904 ** | عالٍ | لا أحد*** | كوالكوم داخلي |
| CVE-2016-8398 | A-31548486 ** | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One | كوالكوم داخلي |
| CVE-2016-8459 | A-32577972 ** | عالٍ | لا أحد*** | كوالكوم داخلي |
| CVE-2016-5080 | A-31115235 ** | معتدل | جهاز Nexus 5X | كوالكوم داخلي |
* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.
** التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
*** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.
ارتفاع ضعف الامتياز في كاميرا Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8412 | A-31225246 QC-CR # 1071891 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL | 26 أغسطس 2016 |
| CVE-2016-8444 | A-31243641 * QC-CR # 1074310 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P | 26 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في مكونات MediaTek
يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكونات MediaTek ، بما في ذلك المحرك الحراري ومحرك الفيديو ، إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8445 | A-31747590 * MT-ALPS02968983 | عالٍ | لا أحد** | 25 سبتمبر 2016 |
| CVE-2016-8446 | A-31747749 * MT-ALPS02968909 | عالٍ | لا أحد** | 25 سبتمبر 2016 |
| CVE-2016-8447 | A-31749463 * MT-ALPS02968886 | عالٍ | لا أحد** | 25 سبتمبر 2016 |
| CVE-2016-8448 | A-31791148 * MT-ALPS02982181 | عالٍ | لا أحد** | 28 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
** لا تتأثر أجهزة Google المدعومة على نظام التشغيل Android 7.0 أو الأحدث والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8415 | A-31750554 QC-CR # 1079596 | عالٍ | Nexus 5X و Pixel و Pixel XL | 26 سبتمبر 2016 |
ارتفاع ثغرة أمنية في برنامج تشغيل NVIDIA GPU
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8449 | A-31798848 * N-CVE-2016-8449 | عالٍ | نيكزس 9 | 28 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل الصوت Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8450 | A-32450563 QC-CR # 880388 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One | 13 أكتوبر 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل شاشة اللمس Synaptics
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8451 | A-32178033 * | عالٍ | لا أحد** | 13 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
** لا تتأثر أجهزة Google المدعومة على نظام التشغيل Android 7.0 أو الأحدث والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
رفع مستوى ضعف الامتياز في النظام الفرعي لأمان kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-7042 | A-32178986 نواة المنبع | عالٍ | بكسل سي | 14 أكتوبر 2016 |
ارتفاع ضعف الامتياز في النظام الفرعي لأداء kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2017-0403 | A-32402548 * | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 25 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في النظام الفرعي لصوت kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لصوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2017-0404 | A-32510733 * | عالٍ | Nexus 5X و Nexus 6P و Nexus 9 و Pixel C و Nexus Player و Pixel و Pixel XL | 27 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8452 | أ -32506396 QC-CR # 1050323 | عالٍ | Nexus 5X و Android One و Pixel و Pixel XL | 28 أكتوبر 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل راديو Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل راديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-5345 | A-32639452 QC-CR # 1079713 | عالٍ | Android One | 3 نوفمبر 2016 |
رفع مستوى ضعف الامتياز في النظام الفرعي لتوصيف النواة
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لتوصيف kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-9754 | A-32659848 نواة المنبع | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player | 4 نوفمبر 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل Broadcom Wi-Fi
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8453 | A-24739315 * B-RB # 73392 | عالٍ | نيكزس 6 | جوجل الداخلية |
| CVE-2016-8454 | A-32174590 * B-RB # 107142 | عالٍ | Nexus 6 و Nexus 6P و Nexus 9 و Pixel C و Nexus Player | 14 أكتوبر 2016 |
| CVE-2016-8455 | A-32219121 * B-RB # 106311 | عالٍ | Nexus 6P | 15 أكتوبر 2016 |
| CVE-2016-8456 | A-32219255 * B-RB # 105580 | عالٍ | Nexus 6 و Nexus 6P و Nexus 9 و Pixel C و Nexus Player | 15 أكتوبر 2016 |
| CVE-2016-8457 | A-32219453 * B-RB # 106116 | عالٍ | Nexus 6 و Nexus 6P و Nexus 9 و Pixel C | 15 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل شاشة اللمس Synaptics
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8458 | A-31968442 * | عالٍ | Nexus 5X و Nexus 6P و Nexus 9 و Android One و Pixel و Pixel XL | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8460 | A-31668540 * N-CVE-2016-8460 | عالٍ | نيكزس 9 | 21 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في أداة تحميل التشغيل
قد تؤدي ثغرة الكشف عن المعلومات في أداة تحميل التشغيل إلى تمكين مهاجم محلي من الوصول إلى البيانات خارج مستوى الإذن الخاص به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8461 | A-32369621 * | عالٍ | Nexus 9 و Pixel و Pixel XL | 21 أكتوبر 2016 |
| CVE-2016-8462 | A-32510383 * | عالٍ | Pixel و Pixel XL | 27 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة أمنية في رفض الخدمة في نظام ملفات Qualcomm FUSE
قد يؤدي رفض وجود ثغرة أمنية في نظام ملفات Qualcomm FUSE إلى تمكين المهاجم عن بُعد من استخدام ملف مُعد خصيصًا للتسبب في تعطل الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8463 | أ -30786860 QC-CR # 586855 | عالٍ | لا أحد* | 03 يناير 2014 |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
رفض الخدمة في أداة تحميل التشغيل
قد يؤدي رفض وجود ثغرة أمنية في أداة تحميل التشغيل إلى تمكين المهاجم من التسبب في رفض محلي دائم للخدمة ، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة المحلي الدائم.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8467 | A-30308784 * | عالٍ | Nexus 6 و Nexus 6P | 29 يونيو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل Broadcom Wi-Fi
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتيازات ويتم تخفيفها من خلال تكوينات النظام الأساسي الحالية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8464 | A-29000183 * B-RB # 106314 | معتدل | Nexus 6 و Nexus 6P و Nexus 9 و Pixel C و Nexus Player | 26 مايو 2016 |
| CVE-2016-8466 | A-31822524 * B-RB # 105268 | معتدل | Nexus 6 و Nexus 6P و Nexus 9 و Pixel C و Nexus Player | 28 سبتمبر 2016 |
| CVE-2016-8465 | A-32474971 * B-RB # 106053 | معتدل | Nexus 6 و Nexus 6P و Nexus 9 و Pixel C و Nexus Player | 27 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في Binder
يمكن أن يؤدي ارتفاع ثغرة الامتياز في Binder إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتيازات ويتم تخفيفها من خلال تكوينات النظام الأساسي الحالية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8468 | A-32394425 * | معتدل | Pixel C و Pixel و Pixel XL | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج تشغيل كاميرا NVIDIA
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الكاميرا إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8469 | A-31351206 * N-CVE-2016-8469 | معتدل | نيكزس 9 | 7 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج MediaTek
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8470 | A-31528889 * MT-ALPS02961395 | معتدل | لا أحد** | 15 سبتمبر 2016 |
| CVE-2016-8471 | A-31528890 * MT-ALPS02961380 | معتدل | لا أحد** | 15 سبتمبر 2016 |
| CVE-2016-8472 | A-31531758 * MT-ALPS02961384 | معتدل | لا أحد** | 15 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
** لا تتأثر أجهزة Google المدعومة على نظام التشغيل Android 7.0 أو الأحدث والتي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
ثغرة الكشف عن المعلومات في برنامج تشغيل STMicroelectronics
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل STMicroelectronics إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8473 | A-31795790 * | معتدل | Nexus 5X و Nexus 6P | 28 سبتمبر 2016 |
| CVE-2016-8474 | A-31799972 * | معتدل | Nexus 5X و Nexus 6P | 28 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في معالج Qualcomm الصوتي
قد تؤدي ثغرة الكشف عن المعلومات في معالج منشورات Qualcomm الصوتية إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2017-0399 | A-32588756 [ 2 ] | معتدل | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 18 أكتوبر 2016 |
| CVE-2017-0400 | A-32438598 [ 2 ] | معتدل | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0401 | A-32588016 | معتدل | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 26 أكتوبر 2016 |
| CVE-2017-0402 | A-32588352 [ 2 ] | معتدل | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 | 25 أكتوبر 2016 |
ثغرة الكشف عن المعلومات في برنامج تشغيل إدخال HTC
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل إدخال HTC إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8475 | A-32591129 * | معتدل | Pixel و Pixel XL | 30 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .
ثغرة أمنية لرفض الخدمة في نظام ملفات kernel
قد يؤدي رفض وجود ثغرة أمنية في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من التسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها متوسطة لأنها رفض مؤقت للخدمة يتطلب إعادة ضبط المصنع لإصلاحه.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2014-9420 | A-32477499 نواة المنبع | معتدل | بكسل سي | 25 ديسمبر 2014 |
أسئلة وأجوبة شائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟
لمعرفة كيفية التحقق من مستوى تصحيح الأمان لجهاز ما ، اقرأ التعليمات الواردة في جدول تحديث Pixel و Nexus .
- تتناول مستويات تصحيح الأمان بتاريخ 2017-01-01 أو أحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2017-01-01.
- تتناول مستويات تصحيح الأمان بتاريخ 2017-01-05 أو أحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2017-01-05 وجميع مستويات التصحيح السابقة.
يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]: [2017-01-01]
- [ro.build.version.security_patch]: [2017/01/05]
2. لماذا تحتوي هذه النشرة على مستويين من تصحيح الأمان؟
تحتوي هذه النشرة على مستويين من تصحيح الأمان بحيث يتمتع شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. يتم تشجيع شركاء Android على إصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من تصحيح الأمان.
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 يناير 2017 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا ، بالإضافة إلى إصلاحات لجميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تشتمل الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 يناير 2017 أو أحدث على جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).
يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google التي تتأثر بكل مشكلة؟
في أقسام تفاصيل الثغرات الأمنية 2017-01-01 و 2017-01-05 ، يحتوي كل جدول على عمود محدث لأجهزة Google يغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Pixel ، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . يتضمن "All" الأجهزة المدعومة التالية: Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel C و Pixel و Pixel XL.
- بعض أجهزة Google : إذا كانت هناك مشكلة لا تؤثر على جميع أجهزة Google ، فسيتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
- لا توجد أجهزة Google : إذا لم تتأثر أجهزة Google التي تعمل بأحدث إصدار متوفر من Android بهذه المشكلة ، فسيكون الجدول "بلا" في عمود أجهزة Google المحدثة .
4. إلى ماذا تعين الإدخالات في عمود المراجع؟
قد تحتوي الإدخالات الموجودة ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:
| بادئة | المرجعي |
|---|---|
| أ- | معرف خطأ Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| م- | الرقم المرجعي MediaTek |
| ن- | الرقم المرجعي لـ NVIDIA |
| ب- | الرقم المرجعي من Broadcom |
التنقيحات
- 03 يناير 2017: تم نشر النشرة.
- 4 يناير 2017: تمت مراجعة النشرة لتشمل روابط AOSP.
- 05 يناير 2017: توضيح رقم إصدار AOSP من 7.1 إلى 7.1.1.
- 12 كانون الثاني (يناير) 2017: تمت إزالة الإدخال المكرر لـ CVE-2016-8467.
- 24 كانون الثاني (يناير) 2017: وصف محدث وشدة CVE-2017-0381.
- 2 فبراير 2017: تحديث CVE-2017-0389 مع رابط تصحيح إضافي.