تاريخ النشر: 3 كانون الثاني (يناير) 2017 | تاريخ التعديل: 2 شباط (فبراير) 2017
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. إلى جانب نشر هذه النشرة، أصدرنا تحديثًا لأمان أجهزة Google من خلال تحديث عبر شبكة غير سلكية (OTA). تم أيضًا طرح صور ملف التمهيد لأجهزة Google على موقع "مطوّرو تطبيقات Google". تعالج مستويات تصحيحات الأمان في 5 كانون الثاني (يناير) 2017 أو الإصدارات الأحدث كلّ هذه المشاكل. يمكنك الرجوع إلى جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان على الجهاز.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة بتاريخ 05 كانون الأول (ديسمبر) 2016 أو قبل ذلك. تم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) ويمكن الوصول إليها من خلال هذا الإشعار. تتضمّن هذه النشرة أيضًا روابط إلى تصحيحات خارج إطار AOSP.
إنّ أخطر هذه المشاكل هي ثغرة أمنية خطيرة يمكن أن تؤدي إلى تفعيل تنفيذ الرموز البرمجية عن بُعد على جهاز متأثر من خلال طُرق متعدّدة، مثل البريد الإلكتروني وتصفّح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يستند تقييم الخطورة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى قسم الحماية من هجمات أمان Android وخدمات Google للاطّلاع على تفاصيل حول الحماية من هجمات أمان نظام Android وحماية الخدمات، مثل SafetyNet، التي تحسِّن من أمان نظام Android الأساسي.
وننصحك بقبول هذه التحديثات على أجهزتك.
الإشعارات
- تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان بهدف منح شركاء Android
المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات
المشابهة بشكل أسرع على جميع أجهزة Android. يمكنك الاطّلاع على الأسئلة الشائعة والإجابات عنها للحصول على
معلومات إضافية:
- 2017-01-01: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة مستوى تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01-01-2017 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- 2017-01-05: سلسلة كاملة لمستوى تحديث الأمان تشير سلسلة مستوى تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بكل من 2017-01-01 و2017-01-05 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- ستتلقّى أجهزة Google المتوافقة تحديثًا واحدًا عبر شبكة غير سلكية يتضمّن مستوى تصحيح الأمان بتاريخ 5 كانون الثاني (يناير) 2017.
ملخّص الثغرات الأمنية
تحتوي الجداول أدناه على قائمة بالثغرات الأمنية ورقم تعريف CVE (الثغرات والمخاطر الأمنية الشائعة) وشدة الخطورة التي تم تقييمها وما إذا كانت أجهزة Google متأثرة أم لا. يستند تقييم الصعوبة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
تدابير التخفيف من مخاطر خدمات Android وGoogle
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- تم تحسين الإصدارات الأحدث من نظام Android لمنع استغلال العديد من المشاكل على هذا النظام. وننصحك بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط عمليات إساءة الاستخدام باستخدام Verify Apps وSafetyNet، اللذَين تم تصميمهما لتحذير المستخدمين بشأن التطبيقات التي قد تكون ضارة. تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا على الأجهزة التي تعمل بـ خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبتون التطبيقات من خارج Google Play. يُحظر استخدام أدوات برمجة التطبيقات التي تتيح الوصول إلى الجذر على Google Play، ولكن تحذّر ميزة "التحقّق من التطبيقات" المستخدمين عند محاولة تثبيت تطبيق تم رصده يتيح الوصول إلى الجذر، بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة "التحقق من التطبيقات" تحديد وتثبيط تثبيت التطبيقات الخبيثة المعروفة التي تستغل ثغرة أمنية متعلقة بتصعيد الأذونات. إذا سبق تثبيت تطبيق مماثل، ستُرسِل ميزة "التحقّق من التطبيقات" إشعارًا إلى المستخدم وستحاول إزالة التطبيق الذي تم رصده.
- لا تُرسِل تطبيقات Google Hangouts وMessenger تلقائيًا الوسائط إلى عمليات مثل Mediaserver، وذلك حسب الاقتضاء.
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- ألكساندرو بلاندا: CVE-2017-0390
- دانيال ميكاي من Copperhead Security: CVE-2017-0397
- داكسينغ قوه (@freener0) من مختبر Xuanwu في Tencent: CVE-2017-0386
- derrek (@derrekr6): CVE-2017-0392
- دي شين (@returnsme) من KeenLab (@keen_lab)، Tencent: CVE-2016-8412، CVE-2016-8444، CVE-2016-8427، CVE-2017-0403
- donfos (آرافيند ماتشيري) من فريق Shellphish Grill، جامعة كاليفورنيا، سانتا باربرا: CVE-2016-8448 وCVE-2016-8470 وCVE-2016-8471 وCVE-2016-8472
- إنّ "هين" (@heeeeen4x) من MS509Team: CVE-2017-0394
- Gengjia Chen (@chengjia4574) وpjf من مختبر IceSword، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
- فريق WebM في Google: CVE-2017-0393
- غوانغ غون (龚广) (@oldfresher) من فريق Alpha، Qihoo 360 Technology Co. Ltd.: CVE-2017-0387
- هاو تشين وغوانغ غون من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-8415 وCVE-2016-8454 وCVE-2016-8455 وCVE-2016-8456 وCVE-2016-8457 CVE-2016-8465
- جيانكينغ تشاو (@jianqiangzhao) وpjf من مختبر IceSword، Qihoo 360: CVE-2016-8475
- "جون سايوير" (@jcase) و"شون بوبري" (@firewaterdevs): CVE-2016-8462
- "جون سايوير" (@jcase) و"شون بوبري" (@firewaterdevs) و"بن أكتيس" (@Ben_RA): CVE-2016-8461
- مينغيان تشو (@Mingjian_Zhou) ويوكي لو (@nikos233) وتشيا تشيه وو (@chiachih_wu) وشيكسيان جيان من فريق C0RE: CVE-2017-0383
- Monk Avel: CVE-2017-0396 وCVE-2017-0399
- "بيتر بي" (@heisecode) من شركة Trend Micro: CVE-2016-8469 وCVE-2016-8424 وCVE-2016-8428 وCVE-2016-8429 وCVE-2016-8460 وCVE-2016-8473 وCVE-2016-8474
- Qidan He (何淇丹) (@flanker_hqd) من KeenLab، Tencent (腾讯科恩实验室): CVE-2017-0382
- روى هاي ومايكل غوبيرمان من IBM Security X-Force: CVE-2016-8467
- Seven Shen (@lingtongshen) من فريق أبحاث التهديدات على الأجهزة الجوّالة في Trend Micro: CVE-2016-8466
- "ستيفن مورو": CVE-2017-0389
- V.E.O (@VYSEa) من فريق البحث في تهديدات الأجهزة الجوّالة في Trend Micro: CVE-2017-0381
- "وي تشاو صن" (@sunblate) من شركة Alibaba Inc.: CVE-2017-0391
- Wenke Dou وChiachih Wu (@chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2017-0402 وCVE-2017-0398
- Wenke Dou وHanxiang Wen وChiachih Wu (@chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2017-0400
- Wenke Dou وHongli Han وChiachih Wu (@chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2017-0384 وCVE-2017-0385
- Wenke Dou وYuqi Lu (@nikos233) وChiachih Wu (@chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2017-0401
- ياو جون ويوان تسونغ لو وتشيتشيه وو (@chiachih_wu) وشيكسيان جيانغ من فريق C0RE: CVE-2016-8431 وCVE-2016-8432 CVE-2016-8435
- "يونغ وانغ" (王勇) (@ThomasKing2014) و"جون تشنغ" من شركة Alibaba Inc.: CVE-2017-0404
- يوان-تسونغ لو وتونغ لين وتشيتشيه وو (@chiachih_wu) وشيكسيان جيانغ من فريق C0RE: CVE-2016-8425 وCVE-2016-8426 CVE-2016-8449
- يوان-تسونغ لو ويانفينغ وانغ وتشياتشيه وو (@chiachih_wu) وشيكسيان جيانغ من فريق C0RE: CVE-2016-8430 وCVE-2016-8482
- يوكسيانغ لي (@Xbalien29) من قسم منصة الأمان في Tencent: CVE-2017-0395
- "زهانبينغ تشاو" (行之) (@0xr0ot) من مختبر أبحاث الأمان في Cheetah Mobile: CVE-2016-8451
نودّ أيضًا أن نشكر الباحثين التاليين على مساهماتهم في هذه النشرة:
- باوزينغ دينغ، وتشنغمينغ يانغ، وبنغ شياو، وننغ يو، ويوان دونغ، وتشاو يانغ، ووي تشانغ، ويوان سونغ من مجموعة أمان الأجهزة الجوّالة في Alibaba
- "بيتر بي" (@heisecode) من Trend Micro
- زوبين ميترا من Google
مستوى رمز تصحيح الأمان في 1-01-2017: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 01-01-2017. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمرجعات المرتبطة بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في c-ares تتيح تنفيذ رمز عن بُعد
يمكن أن تسمح ثغرة أمنية في c-ares لتنفيذ رمز برمجي عن بُعد للمهاجم باستخدام طلب مصمّم خصيصًا لتنفيذ رمز برمجي عشوائي في سياق عملية غير مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمال تنفيذ رمز عن بُعد في تطبيق يستخدم هذه المكتبة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-5180 | A-32205736 | عالية | الكل | 7 | 29 أيلول (سبتمبر) 2016 |
ثغرة أمنية في تنفيذ الرمز البرمجي عن بُعد في Framesequence
يمكن أن تؤدي ثغرة أمنية في تنفيذ الرموز البرمجية عن بُعد في مكتبة Framesequence إلى تمكين أحد المهاجمين باستخدام ملف مصمّم خصيصًا من تنفيذ رمز عشوائي في سياق عملية غير مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية تنفيذ رمز عن بُعد في تطبيق يستخدم مكتبة Framesequence.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0382 | A-32338390 | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 21 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية لرفع الامتيازات في واجهات برمجة تطبيقات Framework
يمكن أن تؤدي ثغرة أمنية في أذونات الوصول إلى البيانات في واجهات برمجة تطبيقات Framework إلى السماح لتطبيق محلي ضارٍ بتنفيذ رمز برمجي عشوائي في سياق عملية مميّزة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0383 | A-31677614 | عالية | الكل | 7.0 و7.1.1 | 21 أيلول (سبتمبر) 2016 |
ثغرة أمنية في Audioserver تؤدي إلى منح الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في Audioserver إلى تمكين تطبيق محلي ضار من تنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0384 | A-32095626 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 11 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0385 | A-32585400 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 11 تشرين الأول (أكتوبر) 2016 |
تصعيد الأذونات ثغرة أمنية في libnl
يمكن أن تؤدي ثغرة أمنية في مكتبة libnl تؤدي إلى الحصول على أذونات مميزة إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مميّزة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0386 | A-32255299 | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 18 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية لرفع مستوى الأذونات في Mediaserver
يمكن أن تؤدي ثغرة أمنية في Mediaserver تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0387 | A-32660278 | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 4 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في موفِّر مساحة التخزين الخارجي
يمكن أن تؤدي إحدى نقاط الضعف في ميزة الإفصاح عن المعلومات في مقدّم خدمة التخزين الخارجي إلى السماح لمستخدم ثانوي على الجهاز بقراءة البيانات من بطاقة SD للتخزين الخارجي التي أدخلها المستخدم الأساسي. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0388 | A-32523490 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | Google فقط |
هجمة حجب الخدمة الاختراق في شبكة الاتصال الأساسية
يمكن أن تؤدي ثغرة أمنية لرفض الخدمة في شبكة الاتصال الأساسية إلى تمكين أحد المهاجمين عن بُعد من استخدام حزمة شبكة مصمّمة خصيصًا لتعليق الجهاز أو إعادة التمهيد. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث هجمات انقطاع الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0389 | A-31850211 [2] [3] | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 20 تموز (يوليو) 2016 |
ثغرة تتعلّق برفض الخدمة في Mediaserver
يمكن أن تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين مهاجم عن بُعد من استخدام ملف مصمَّم خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تقييم هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0390 | A-31647370 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 19 أيلول (سبتمبر) 2016 |
| CVE-2017-0391 | A-32322258 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 20 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0392 | A-32577290 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 29 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0393 | A-30436808 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | Google فقط |
ثغرة تتعلّق برفض الخدمة في تطبيق "الاتصال الهاتفي"
يمكن أن تؤدي ثغرة الخدمة في "الهاتف" إلى السماح لمهاجم عن بُعد بالتسبب في تعطُّل الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0394 | A-31752213 | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 23 أيلول (سبتمبر) 2016 |
ثغرة أمنية تتعلّق برفع الامتيازات في "جهات الاتصال"
يمكن أن تؤدي إحدى الثغرات الأمنية المتعلّقة برفع مستوى الأذونات في تطبيق "جهات الاتصال" إلى السماح لتطبيق محلي ضار بإنشاء معلومات جهات اتصال بدون علمك. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّها تؤدي إلى تجاوز متطلبات تفاعل المستخدمين على الجهاز فقط (الوصول إلى وظائف تتطلّب عادةً بدء المستخدمين لها أو إذن المستخدمين).
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0395 | A-32219099 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 15 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية تتعلّق بالكشف عن المعلومات في Mediaserver
يمكن أن تؤدي إحدى نقاط الضعف في Mediaserver إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0381 | A-31607432 | متوسط | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 18 أيلول (سبتمبر) 2016 |
| CVE-2017-0396 | A-31781965 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 27 أيلول (سبتمبر) 2016 |
| CVE-2017-0397 | A-32377688 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 21 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية تتعلّق بكشف المعلومات في Audioserver
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في Audioserver إلى تمكين تطبيق محلي ضار من الوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0398 | A-32438594 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0398 | A-32635664 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0398 | A-32624850 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0399 | A-32247948 [2] | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 18 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0400 | A-32584034 [2] | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0401 | A-32448258 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 26 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0402 | A-32436341 [2] | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 25 تشرين الأول (أكتوبر) 2016 |
مستوى رمز تصحيح الأمان في 05-01-2017: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 05-01-2017. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمرجعات المرتبطة بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في "النظام الفرعي لذاكرة kernel" تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في نظام الذاكرة الفرعي للنواة تؤدي إلى منح أذونات مميزة إلى تفعيل تطبيق ضار محلي لتنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3288 | A-32460277 النواة الأساسية |
حرِج | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel C وNexus Player وPixel وPixel XL | 9 تموز (يوليو) 2015 |
ثغرة أمنية في "برنامج إقلاع Qualcomm" تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في أداة تحميل التشغيل من Qualcomm إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8422 | A-31471220 QC-CR#979426 |
حرِج | Nexus 6 وNexus 6P وPixel وPixel XL | 22 تموز (يوليو) 2016 |
| CVE-2016-8423 | A-31399736 QC-CR#1000546 |
حرِج | Nexus 6P وPixel وPixel XL | 24 آب (أغسطس) 2016 |
ثغرة أمنية في تصعيد الأذونات في نظام ملفات kernel
يمكن أن تسمح ثغرة أمنية لرفع مستوى الأذونات في نظام ملفات النواة لتطبيق محلي ضار تنفيذ رمز عشوائي في سياق ملف تعريف النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-5706 | A-32289301 النواة الأساسية |
حرِج | لا شيء* | 1 آب (أغسطس) 2016 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في تصعيد الامتيازات في برنامج تشغيل وحدة معالجة الرسومات من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8424 | A-31606947* N-CVE-2016-8424 |
حرِج | Nexus 9 | 17 أيلول (سبتمبر) 2016 |
| CVE-2016-8425 | A-31797770* N-CVE-2016-8425 |
حرِج | Nexus 9 | 28 أيلول (سبتمبر) 2016 |
| CVE-2016-8426 | A-31799206* N-CVE-2016-8426 |
حرِج | Nexus 9 | 28 أيلول (سبتمبر) 2016 |
| CVE-2016-8482 | A-31799863* N-CVE-2016-8482 |
حرِج | Nexus 9 | 28 أيلول (سبتمبر) 2016 |
| CVE-2016-8427 | A-31799885* N-CVE-2016-8427 |
حرِج | Nexus 9 | 28 أيلول (سبتمبر) 2016 |
| CVE-2016-8428 | A-31993456* N-CVE-2016-8428 |
حرِج | Nexus 9 | 6 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8429 | A-32160775* N-CVE-2016-8429 |
حرِج | Nexus 9 | 13 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8430 | A-32225180* N-CVE-2016-8430 |
حرِج | Nexus 9 | 17 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8431 | A-32402179* N-CVE-2016-8431 |
حرِج | Pixel C | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8432 | A-32447738* N-CVE-2016-8432 |
حرِج | Pixel C | 26 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في تعريف مهايئ MediaTek تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل MediaTek إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8433 | A-31750190* MT-ALPS02974192 |
حرِج | لا شيء** | 24 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في "برنامج تشغيل وحدة معالجة الرسومات" من Qualcomm تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات من Qualcomm إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8434 | A-32125137 QC-CR#1081855 |
حرِج | Nexus 5X وNexus 6 وNexus 6P وAndroid One | 12 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في تصعيد الامتيازات في برنامج تشغيل وحدة معالجة الرسومات من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8435 | A-32700935* N-CVE-2016-8435 |
حرِج | Pixel C | 7 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في ملف تشغيل الفيديو من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من Qualcomm إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8436 | A-32450261 QC-CR#1007860 |
حرِج | لا شيء* | 13 تشرين الأول (أكتوبر) 2016 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرات أمنية في مكونات Qualcomm
تؤثر الثغرات الأمنية التالية في مكونات Qualcomm، ويتم وصفها بالتفصيل في رسائل الأمان الخاصة ببرنامج Qualcomm AMSS في تشرين الثاني (نوفمبر) 2015 وأغسطس (آب) 2016 وتشرين الأول (أكتوبر) 2016 وأيلول (سبتمبر) 2016.
| CVE | المراجع | مستوى الخطورة* | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8438 | A-31624565** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8442 | A-31625910** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8443 | A-32576499** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8437 | A-31623057** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8439 | A-31625204** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8440 | A-31625306** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8441 | A-31625904** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8398 | A-31548486** | عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One | فريق Qualcomm الداخلي |
| CVE-2016-8459 | A-32577972** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-5080 | A-31115235** | متوسط | Nexus 5X | فريق Qualcomm الداخلي |
* حدّد المورّد تقييم الخطورة لهذه الثغرات.
** لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
*** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في كاميرا Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في كاميرا Qualcomm إلى السماح لتطبيق محلي ضارٍ بتنفيذ رمز عشوائي في سياق ملف التمهيد. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8412 | A-31225246 QC-CR#1071891 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 26 آب (أغسطس) 2016 |
| CVE-2016-8444 | A-31243641* QC-CR#1074310 |
عالية | Nexus 5X وNexus 6 وNexus 6P | 26 آب (أغسطس) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في مكونات MediaTek تؤدي إلى تصعيد الأذونات
هناك ثغرة أمنية لرفع مستوى الأذونات في مكونات MediaTek، بما في ذلك برنامج تشغيل الحرارة وبرنامج تشغيل الفيديو، ويمكن أن تسمح هذه الثغرة لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها عالية لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8445 | A-31747590* MT-ALPS02968983 |
عالية | لا شيء** | 25 أيلول (سبتمبر) 2016 |
| CVE-2016-8446 | A-31747749* MT-ALPS02968909 |
عالية | لا شيء** | 25 أيلول (سبتمبر) 2016 |
| CVE-2016-8447 | A-31749463* MT-ALPS02968886 |
عالية | لا شيء** | 25 أيلول (سبتمبر) 2016 |
| CVE-2016-8448 | A-31791148* MT-ALPS02982181 |
عالية | لا شيء** | 28 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في "برنامج تشغيل Wi-Fi" من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا بالوصول إلى ميزات بمستوى امتياز أعلى، ما يتيح له تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8415 | A-31750554 QC-CR#1079596 |
عالية | Nexus 5X وPixel وPixel XL | 26 أيلول (سبتمبر) 2016 |
ثغرة أمنية في تصعيد الامتيازات في برنامج تشغيل وحدة معالجة الرسومات من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8449 | A-31798848* N-CVE-2016-8449 |
عالية | Nexus 9 | 28 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في ملف التمكين في برنامج تشغيل الصوت من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8450 | A-32450563 QC-CR#880388 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One | 13 تشرين الأول (أكتوبر) 2016 |
تصعيد الامتيازات الثغرة الأمنية في برنامج تشغيل شاشة اللمس من Synaptics
هناك ثغرة أمنية في برنامج تشغيل شاشة لمس Synaptics تؤدي إلى منح أذونات مميزة وعالية المستوى، ما يمكن أن يتيح لتطبيق ضار محلي تنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8451 | A-32178033* | عالية | لا شيء** | 13 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تتعلّق برفع مستوى الأذونات في النظام الفرعي للأمان في النواة
يمكن أن تؤدي ثغرة أمنية في نظام الأمان الفرعي للنواة إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-7042 | A-32178986 النواة الأساسية |
عالية | Pixel C | 14 تشرين الأول (أكتوبر) 2016 |
ثغرة تتعلّق برفع مستوى الامتيازات في النظام الفرعي لأداء kernel
يمكن أن تؤدي ثغرة أمنية في رفع الأذونات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0403 | A-32402548* | عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 25 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في "النظام الفرعي للصوت في النواة" تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في نظام الصوت الفرعي للنواة إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0404 | A-32510733* | عالية | Nexus 5X وNexus 6P وNexus 9 وPixel C وNexus Player وPixel وPixel XL | 27 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في "برنامج تشغيل Wi-Fi" من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا بالوصول إلى ميزات بمستوى امتياز أعلى، ما يتيح له تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8452 | A-32506396 QC-CR#1050323 |
عالية | Nexus 5X وAndroid One وPixel وPixel XL | 28 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في ملف تشغيل جهاز البث اللاسلكي Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الراديو من Qualcomm إلى منح تطبيق ضار على الجهاز إذنًا بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5345 | A-32639452 QC-CR#1079713 |
عالية | Android One | 3 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية تتعلّق بتجاوز الأذونات في النظام الفرعي لتحليل أداء نظام التشغيل
يمكن أن تؤدي ثغرة أمنية في نظام الملف الشخصي الفرعي للنواة إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-9754 | A-32659848 النواة الأساسية |
عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player | 4 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8453 | A-24739315* B-RB#73392 |
عالية | Nexus 6 | Google فقط |
| CVE-2016-8454 | A-32174590* B-RB#107142 |
عالية | Nexus 6 وNexus 6P وNexus 9 وPixel C وNexus Player | 14 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8455 | A-32219121* B-RB#106311 |
عالية | Nexus 6P | 15 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8456 | A-32219255* B-RB#105580 |
عالية | Nexus 6 وNexus 6P وNexus 9 وPixel C وNexus Player | 15 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8457 | A-32219453* B-RB#106116 |
عالية | Nexus 6 وNexus 6P وNexus 9 وPixel C | 15 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
تصعيد الامتيازات الثغرة الأمنية في برنامج تشغيل شاشة اللمس من Synaptics
هناك ثغرة أمنية في برنامج تشغيل شاشة لمس Synaptics تؤدي إلى منح أذونات مميزة وعالية المستوى، ما يمكن أن يتيح لتطبيق ضار محلي تنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8458 | A-31968442* | عالية | Nexus 5X وNexus 6P وNexus 9 وAndroid One وPixel وPixel XL | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل الفيديو من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من NVIDIA إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8460 | A-31668540* N-CVE-2016-8460 |
عالية | Nexus 9 | 21 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في مُشغِّل الإقلاع
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في أداة تحميل البرامج إلى تمكين أحد المهاجمين المحليين من الوصول إلى البيانات خارج مستوى الإذن الخاص بها. تم تصنيف هذه المشكلة على أنّها عالية الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8461 | A-32369621* | عالية | Nexus 9 وPixel وPixel XL | 21 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8462 | A-32510383* | عالية | Pixel وPixel XL | 27 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تؤدي إلى حجب الخدمة في نظام ملفات Qualcomm FUSE
يمكن أن تؤدي ثغرة في نظام الملفات Qualcomm FUSE إلى أن يتمكّن مهاجمة عن بُعد من استخدام ملف مصمَّم خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث هجمات انقطاع الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8463 | A-30786860 QC-CR#586855 |
عالية | لا شيء* | 3 كانون الثاني (يناير) 2014 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في برنامج الإقلاع تؤدي إلى حجب الخدمة
يمكن أن تسمح ثغرة في خدمة حجب الخدمة في أداة تحميل البرامج الأساسية للمهاجمين بتسبب في حجب الخدمة بشكل دائم على الجهاز، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض دائم للخدمة على مستوى الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8467 | A-30308784* | عالية | Nexus 6 وNexus 6P | 29 حزيران (يونيو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً الوصول إلى عملية مميّزة، ويمكن التخفيف من حدتها من خلال إعدادات الأنظمة الأساسية الحالية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8464 | A-29000183* B-RB#106314 |
متوسط | Nexus 6 وNexus 6P وNexus 9 وPixel C وNexus Player | 26 أيار (مايو) 2016 |
| CVE-2016-8466 | A-31822524* B-RB#105268 |
متوسط | Nexus 6 وNexus 6P وNexus 9 وPixel C وNexus Player | 28 أيلول (سبتمبر) 2016 |
| CVE-2016-8465 | A-32474971* B-RB#106053 |
متوسط | Nexus 6 وNexus 6P وNexus 9 وPixel C وNexus Player | 27 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في Binder تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في Binder تؤدي إلى الحصول على امتيازات إضافية إلى تمكين تطبيق محلي ضار من تنفيذ رمز برمجي عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة، ويمكن التخفيف من حدتها من خلال إعدادات المنصة الحالية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8468 | A-32394425* | متوسط | Pixel C وPixel وPixel XL | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل كاميرا NVIDIA
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل الكاميرا إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8469 | A-31351206* N-CVE-2016-8469 |
متوسط | Nexus 9 | 7 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل MediaTek
يمكن أن تؤدي إحدى نقاط الضعف في أمان الإفصاح عن المعلومات في برنامج تشغيل MediaTek إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8470 | A-31528889* MT-ALPS02961395 |
متوسط | لا شيء** | 15 أيلول (سبتمبر) 2016 |
| CVE-2016-8471 | A-31528890* MT-ALPS02961380 |
متوسط | لا شيء** | 15 أيلول (سبتمبر) 2016 |
| CVE-2016-8472 | A-31531758* MT-ALPS02961384 |
متوسط | لا شيء** | 15 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في برنامج تشغيل STMicroelectronics للإفصاح عن المعلومات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل STMicroelectronics إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8473 | A-31795790* | متوسط | Nexus 5X وNexus 6P | 28 أيلول (سبتمبر) 2016 |
| CVE-2016-8474 | A-31799972* | متوسط | Nexus 5X وNexus 6P | 28 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
تسرّب المعلومات الثغرة الأمنية في وحدة معالجة الصوت من Qualcomm
هناك ثغرة أمنية في Qualcomm لعرض المعلومات في وحدة معالجة الصوت بعد تسجيله، والتي يمكن أن تتيح لتطبيق ضار محلي الوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّه يمكن استخدامها لمحاولة الوصول إلى البيانات الحسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0399 | A-32588756 [2] | متوسط | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 18 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0400 | A-32438598 [2] | متوسط | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0401 | A-32588016 | متوسط | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 26 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0402 | A-32588352 [2] | متوسط | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 25 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في برنامج تشغيل إدخال HTC
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الإدخال في هواتف HTC إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8475 | A-32591129* | متوسط | Pixel وPixel XL | 30 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية تؤدي إلى حجب الخدمة في نظام التشغيل ملف
يمكن أن تؤدي ثغرة الخدمة المرفوضة في نظام ملفات kernel إلى السماح لتطبيق محلي ضار بالتسبب في تعليق الجهاز أو إعادة تشغيله. تم تقييم هذه المشكلة على أنّها متوسطة الخطورة لأنّها هجوم حجب خدمة مؤقت يتطلّب إعادة الضبط على الإعدادات الأصلية لحلّها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9420 | A-32477499 النواة الأساسية |
متوسط | Pixel C | 25 كانون الأوّل (ديسمبر) 2014 |
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدَّثًا لحلّ هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى تصحيح الأمان على الجهاز، يُرجى الاطّلاع على التعليمات الواردة في جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus.
- تعالج مستويات تصحيحات الأمان بتاريخ 01-01-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 01-01-2017.
- تعالج مستويات تصحيحات الأمان بتاريخ 05-01-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05-01-2017 وجميع مستويات التصحيحات السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التعديلات ضبط مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2017-01-01]
- [ro.build.version.security_patch]:[2017-01-05]
2. لماذا تتضمّن هذه النشرة الإخبارية مستويَين لرمز تصحيح الأمان؟
تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان ليتمكّن شركاء Android من تعديل مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بحلّ جميع المشاكل المذكورة في هذه النشرة واستخدام أحدث مستوى من تصحيحات الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 كانون الثاني (يناير) 2017 كل المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لكل المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 كانون الثاني (يناير) 2017 أو الإصدارات الأحدث جميع الرموز الإصلاحية السارية في نشرة الأمان (هذه والسابقة).
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google المتأثّرة بكل مشكلة؟
في قسمَي تفاصيل ثغرات الأمان بتاريخ 01-01-2017 و05-01-2017 ، يحتوي كل جدول على عمود أجهزة Google التي تم تعديلها الذي يشمل نطاق أجهزة Google المتأثرة التي تم تعديلها لحلّ كل مشكلة. يتضمّن هذا العمود بعض الخيارات:
- جميع أجهزة Google: إذا كانت المشكلة تؤثر في كل من أجهزة Pixel و"جميع الأجهزة"، سيظهر "كل الأجهزة" في عمود أجهزة Google التي تم تحديثها. يشير خيار "الكل" إلى الأجهزة المتوافقة التالية: Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
- بعض أجهزة Google: إذا لم تؤثّر المشكلة في جميع أجهزة Google ، يتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google التي تم تحديثها.
- لا تتوفّر أجهزة Google: إذا لم تتأثّر المشكلة بأي أجهزة Google تعمل بأحدث إصدار متاح من Android، سيظهر في الجدول الخيار "لا تتوفّر" في عمود أجهزة Google التي تم تحديثها.
4. ما هي العناصر التي ترتبط بها الإدخالات في عمود "المراجع"؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم ربط هذه البادئات على النحو التالي:
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
إصدارات
- 3 كانون الثاني (يناير) 2017: تم نشر النشرة.
- 4 كانون الثاني (يناير) 2017: تم تعديل النشرة لتضمين روابط AOSP.
- 5 كانون الثاني (يناير) 2017: تم توضيح رقم إصدار AOSP من 7.1 إلى 7.1.1.
- 12 كانون الثاني (يناير) 2017: تمت إزالة الإدخال المتكرّر لـ CVE-2016-8467.
- 24 كانون الثاني (يناير) 2017: تم تعديل الوصف وشدة الخطورة لـ CVE-2017-0381.
- 2 شباط (فبراير) 2017: تم تعديل CVE-2017-0389 بإضافة رابط تصحيح إضافي.