تاريخ النشر: 6 شباط (فبراير) 2017 | تاريخ التعديل: 8 شباط (فبراير) 2017
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. إلى جانب نشر هذه النشرة، أصدرنا تحديثًا لأمان أجهزة Google من خلال تحديث عبر شبكة غير سلكية (OTA). تم أيضًا طرح صور ملف التمهيد لأجهزة Google على موقع "مطوّرو تطبيقات Google". تعالج مستويات تصحيحات الأمان في 5 شباط (فبراير) 2017 أو الإصدارات الأحدث كلًا من هذه المشاكل. يمكنك الرجوع إلى جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان على الجهاز.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة بتاريخ 3 كانون الثاني (يناير) 2017 أو قبل ذلك. تم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) ويمكن الوصول إليها من خلال هذا الإشعار. تتضمّن هذه النشرة أيضًا روابط إلى تصحيحات خارج إطار AOSP.
إنّ أخطر هذه المشاكل هي ثغرة أمنية خطيرة يمكن أن تؤدي إلى تفعيل تنفيذ الرموز البرمجية عن بُعد على جهاز متأثر من خلال طُرق متعدّدة، مثل البريد الإلكتروني وتصفّح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يستند تقييم الخطورة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى قسم الحماية من هجمات أمان Android وخدمات Google للاطّلاع على تفاصيل حول الحماية من هجمات أمان نظام Android وحماية الخدمات، مثل SafetyNet، التي تحسِّن من أمان نظام Android الأساسي.
وننصحك بقبول هذه التحديثات على أجهزتك.
الإشعارات
- تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان من أجل منح شركاء Android
مرونة أكبر في إصلاح مجموعة فرعية من الثغرات الأمنية
المشابهة على جميع أجهزة Android بشكل أسرع. يمكنك الاطّلاع على الأسئلة الشائعة والإجابات عنها للحصول على
معلومات إضافية:
- 2017-02-01: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة رمز تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01-02-2017 (وجميع سلاسل مستويات رمز تصحيح الأمان السابقة).
- 2017-02-05: سلسلة كاملة لمستوى رمز تصحيح الأمان تشير سلسلة رمز تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بالتاريخَين 01-02-2017 و05-02-2017 (وجميع سلاسل مستويات رمز تصحيح الأمان السابقة).
- ستتلقّى أجهزة Google المتوافقة تحديثًا واحدًا عبر شبكة غير سلكية يتضمّن مستوى تصحيح الأمان بتاريخ 05 شباط (فبراير) 2017.
إجراءات التخفيف في Android وخدمات Google
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- تم تحسين الإصدارات الأحدث من نظام Android لمنع استغلال العديد من المشاكل على هذا النظام. وننصحك بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط عمليات إساءة الاستخدام باستخدام أداة "التحقّق من التطبيقات" وبرنامج SafetyNet، اللذَين تم تصميمهما لتحذير المستخدمين بشأن التطبيقات التي يُحتمل أن تكون ضارة. تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا على الأجهزة التي تم تثبيت خدمات Google للأجهزة الجوّالة عليها، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبتون التطبيقات من خارج Google Play. يُحظر استخدام أدوات برمجة التطبيقات التي تتيح الوصول إلى الجذر على Google Play، ولكن تحذّر ميزة "التحقّق من التطبيقات" المستخدمين عند محاولة تثبيت تطبيق تم رصده يتيح الوصول إلى الجذر، بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة "التحقق من التطبيقات" تحديد وتثبيط تثبيت التطبيقات الخبيثة المعروفة التي تستغل ثغرة أمنية متعلقة بتصعيد الأذونات. إذا سبق تثبيت تطبيق مماثل، ستُرسِل ميزة "التحقّق من التطبيقات" إشعارًا إلى المستخدم وستحاول إزالة التطبيق الذي تم رصده.
- لا تُرسِل تطبيقات Google Hangouts وMessenger تلقائيًا الوسائط إلى عمليات مثل Mediaserver، وذلك حسب الاقتضاء.
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- دانيال داخنو: CVE-2017-0420
- "دانيال ميكاي" من شركة Copperhead Security: CVE-2017-0410
- دميتري لوكيانينكا: CVE-2017-0414
- "فرانك ليبيراتو" من فريق Chrome: CVE-2017-0409
- غال بينيامين من Project Zero: CVE-2017-0411 وCVE-2017-0412
- Gengjia Chen (@chengjia4574) وpjf من مختبر IceSword، شركة Qihoo 360 Technology Co. Ltd.: CVE-2017-0434 وCVE-2017-0446 وCVE-2017-0447 وCVE-2017-0432
- غوانغ غون (龚广) (@oldfresher) من فريق Alpha، Qihoo 360 Technology Co.Ltd: CVE-2017-0415
- هانكسيانغ وين، وينكي دو، مينغيان تشو ( @Mingjian_Zhou)، وشيكسيان جيانغ من فريق C0RE: CVE-2017-0418
- هاو تشين وغوانغ غون من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd.: CVE-2017-0437 وCVE-2017-0438 وCVE-2017-0439 وCVE-2016-8419 وCVE-2016-8420 CVE-2016-8421 وCVE-2017-0441 وCVE-2017-0442 وCVE-2016-8476 وCVE-2017-0443
- جيف شاركي من Google: CVE-2017-0421 وCVE-2017-0423
- جيف تريم: CVE-2017-0422
- جيانكينغ تشاو ( @jianqiangzhao) و pjf من مختبر IceSword، Qihoo 360: CVE-2017-0445
- مالا ونيكولاي إلينكوف من شركة LINE: CVE-2016-5552
- "ماكس سبيتسر" من Google: CVE-2017-0416
- مينغيان تشو ( @Mingjian_Zhou) ويوكي لو ( @nikos233) وشيوشيان جيانغ من فريق C0RE: CVE-2017-0425
- قيدان هي (何淇丹) (@flanker_hqd) ودي شين (申迪) (@returnsme) من KeenLab، Tencent (腾讯科恩实验室): CVE-2017-0427
- ساغي كيدمي من فريق IBM X-Force Research: CVE-2017-0433
- سكوت باور (@ScottyBauer1) ودانيال ميكاي من Copperhead Security: CVE-2017-0405
- Seven Shen (@lingtongshen) من فريق أبحاث التهديدات على الأجهزة الجوّالة في Trend Micro: CVE-2017-0449 وCVE-2016-8418
- تونغ لين، يوان-تسونغ لو، تشيتشيه وو ( @chiachih_wu)، وشيكسيان جيانغ من فريق C0RE: CVE-2017-0436 وCVE-2016-8481 وCVE-2017-0435
- V.E.O (@VYSEa) من فريق الاستجابة للتهديدات المتعلّقة بالأجهزة المتحرّكة، Trend Micro: CVE-2017-0424
- "وي تشاو صن" (@sunblate) من شركة Alibaba Inc.: CVE-2017-0407
- Wenke Dou، Hongli Han، وMingjian Zhou ( @Mingjian_Zhou)، وXuxian Jiang من فريق C0RE: CVE-2017-0450
- Wenke Dou وYuqi Lu ( @nikos233) وMingjian Zhou ( @Mingjian_Zhou) وXuxian Jiang من فريق C0RE: CVE-2017-0417
- Wish Wu (@wish_wu) ( 吴潍浠 此彼) من مختبر الأمان في Ant-financial Light-Year: CVE-2017-0408
- ياو جون، يوان تسونغ لو، تشيتشيه وو ( @chiachih_wu)، وشيكسيان جيانغ من فريق C0RE: CVE-2016-8480
- Yuan-Tsung Lo وChiachih Wu ( @chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2017-0444
- Yuan-Tsung Lo، Tong Lin، وChiachih Wu ( @chiachih_wu)، وXuxian Jiang من فريق C0RE: CVE-2017-0428
- Yuan-Tsung Lo، Xiaodong Wang، وChiachih Wu ( @chiachih_wu)، وXuxian Jiang من فريق C0RE: CVE-2017-0448 وCVE-2017-0429
- Zhen Zhou ( @henices) و Zhixin Li من NSFocus: CVE-2017-0406
نودّ أيضًا أن نشكر كلّ من ساهم في إعداد هذا التقرير:
- بينغفي دينغ (丁鹏飞) وتشينفاو باو (包沉浮) ولينك وي (韦韬) من مختبر X-Lab في Baidu (百度安全实验室)
مستوى رمز تصحيح الأمان في 1 شباط (فبراير) 2017: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 01-02-2017. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمراجع المرتبط بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية تؤدي إلى تنفيذ رمز عن بُعد في Surfaceflinger
يمكن أن تسمح ثغرة أمنية لتنفيذ رموز برمجية عن بُعد في Surfaceflinger لهجوم باستخدام ملف مصمّم خصيصًا لإتلاف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب احتمالية تنفيذ رمز عن بُعد في سياق عملية Surfaceflinger.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0405 | A-31960359 | حرِج | الكل | 7.0 و7.1.1 | 4 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في Mediaserver تتيح تنفيذ رمز برمجي عن بُعد
يمكن أن تسمح ثغرة أمنية لتنفيذ رموز برمجية عن بُعد في Mediaserver لمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمز عن بُعد في سياق عملية Mediaserver.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0406 | A-32915871 [2] | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 14 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0407 | A-32873375 | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 12 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في libgdx تتيح تنفيذ رمز عن بُعد
يمكن أن تسمح ثغرة أمنية في libgdx لتنفيذ تعليمات برمجية عن بُعد، ما يتيح للمهاجم استخدام ملف مصمّم خصيصًا لتنفيذ رمز عشوائي في سياق عملية غير مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمال تنفيذ رمز عن بُعد في تطبيق يستخدم هذه المكتبة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0408 | A-32769670 | عالية | الكل | 7.1.1 | 9 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في مكتبة libstagefright تتيح تنفيذ رمز برمجي عن بُعد
يمكن أن تسمح ثغرة أمنية في libstagefright لتنفيذ رمز برمجي عن بُعد، ما يتيح للمهاجم استخدام ملف مصمّم خصيصًا لتنفيذ رمز عشوائي في سياق عملية غير مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية تنفيذ رمز عن بُعد في تطبيق يستخدم هذه المكتبة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0409 | A-31999646 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | Google فقط |
ثغرة أمنية في Java.Net تؤدي إلى تصعيد الأذونات
يمكن أن يؤدي تصعيد الامتيازات في مكتبة Java.Net إلى السماح لمحتوى الويب الضار بإعادة توجيه المستخدم إلى موقع إلكتروني آخر بدون إذن صريح. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تسمح بتجاوز متطلبات تفاعل المستخدم عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-5552 | A-31858037 | عالية | الكل | 7.0 و7.1.1 | 30 أيلول (سبتمبر) 2016 |
ثغرة أمنية في واجهة برمجة التطبيقات لإطار العمل تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في أذونات الوصول إلى البيانات في واجهات برمجة تطبيقات Framework إلى السماح لتطبيق محلي ضارٍ بتنفيذ رمز برمجي عشوائي في سياق عملية مميّزة. تم تصنيف هذه المشكلة على أنّها "مرتفعة" لأنّه يمكن استخدامها للحصول على إذن بالوصول على الجهاز إلى ميزات متقدّمة لا يمكن الوصول إليها عادةً من خلال تطبيق تابع لجهة خارجية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0410 | A-31929765 | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 2 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0411 | A-33042690 [2] | عالية | الكل | 7.0 و7.1.1 | 21 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0412 | A-33039926 [2] | عالية | الكل | 7.0 و7.1.1 | 21 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في Mediaserver تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في Mediaserver تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "مرتفعة" لأنّه يمكن استخدامها للحصول على إذن بالوصول على الجهاز إلى ميزات متقدّمة لا يمكن الوصول إليها عادةً من خلال تطبيق تابع لجهة خارجية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0415 | A-32706020 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 4 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في Audioserver تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في Audioserver إلى تمكين تطبيق محلي ضار من تنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "مرتفعة" لأنّه يمكن استخدامها للحصول على إذن بالوصول على الجهاز إلى ميزات متقدّمة لا يمكن الوصول إليها عادةً من خلال تطبيق تابع لجهة خارجية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0416 | A-32886609 [2] | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | Google فقط |
| CVE-2017-0417 | A-32705438 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 7 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0418 | A-32703959 [2] | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 7 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0419 | A-32220769 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 15 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في تطبيق AOSP Mail تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في AOSP Mail التي تؤدي إلى الكشف عن المعلومات إلى تمكين تطبيق محلي ضار من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى بيانات لا يمكن للتطبيق الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0420 | A-32615212 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 12 أيلول (سبتمبر) 2016 |
ثغرة أمنية في AOSP تؤدي إلى الإفصاح عن المعلومات الرسائل
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الكشف عن المعلومات في AOSP Messaging إلى السماح لتطبيق محلي ضار بتجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى بيانات لا يمكن للتطبيق الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0413 | A-32161610 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 13 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0414 | A-32807795 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 10 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في Framework APIs تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في أمان الإفصاح عن المعلومات في واجهات برمجة تطبيقات Framework إلى السماح لتطبيق محلي ضار بتجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى بيانات لا يمكن للتطبيق الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0421 | A-32555637 | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | Google فقط |
ثغرة أمنية تؤدي إلى حجب الخدمة في Bionic DNS
يمكن أن تسمح ثغرة الخدمة المرفوضة في Bionic DNS لمهاجم عن بُعد باستخدام حزمة شبكة مصمّمة خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0422 | A-32322088 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 20 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في البلوتوث تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي إحدى الثغرات الأمنية في البلوتوث إلى منح مهاجم قريب إذنًا بإدارة الوصول إلى المستندات على الجهاز. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً استغلال ثغرة أمنية منفصلة في حِزمة البلوتوث.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0423 | A-32612586 | متوسط | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 2 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في AOSP تؤدي إلى الإفصاح عن المعلومات الرسائل
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الكشف عن المعلومات في AOSP Messaging إلى تمكين مهاجمة عن بُعد باستخدام ملف مصمّم خصيصًا من الوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّها تسمح بتجاوز دفاع عميق بشكل عام على مستوى المستخدم أو تكنولوجيا تخفيف استغلال الثغرات في عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0424 | A-32322450 | متوسط | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 20 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية تؤدي إلى الكشف عن المعلومات في Audioserver
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في Audioserver إلى تمكين تطبيق محلي ضار من الوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0425 | A-32720785 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 7 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في "نظام الملفات" تؤدي إلى الإفصاح عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في أمان نظام الملفات إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0426 | A-32799236 [2] | متوسط | الكل | 7.0 و7.1.1 | Google فقط |
مستوى رمز تصحيح الأمان في 05-02-2017: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 05-02-2017. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمرجعات المرتبطة بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ رمز عن بُعد في برنامج تشغيل التشفير من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل التشفير من Qualcomm تسمح بتنفيذ رمز برمجي عن بُعد إلى تمكين مهاجم عن بُعد من تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "حرجة" بسبب إمكانية تنفيذ رمز عن بُعد في سياق النواة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8418 | A-32652894 QC-CR#1077457 |
حرِج | لا شيء* | 10 تشرين الأول (أكتوبر) 2016 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في تصعيد الأذونات في نظام ملفات kernel
يمكن أن تسمح ثغرة أمنية لرفع مستوى الأذونات في نظام ملفات النواة لتطبيق محلي ضار تنفيذ رمز عشوائي في سياق ملف تعريف النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0427 | A-31495866* | حرِج | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 13 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في تصعيد الامتيازات في برنامج تشغيل وحدة معالجة الرسومات من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0428 | A-32401526* N-CVE-2017-0428 |
حرِج | Nexus 9 | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0429 | A-32636619* N-CVE-2017-0429 |
حرِج | Nexus 9 | 3 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
تصعيد الأذونات الثغرة الأمنية في النظام الفرعي لشبكة kernel
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في النظام الفرعي للاتصال بالشبكة في kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9914 | A-32882659 النواة الأساسية |
حرِج | Nexus 6 وNexus Player | 9 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0430 | A-32838767* B-RB#107459 |
حرِج | Nexus 6 وNexus 6P وNexus 9 وPixel C وNexus Player | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرات أمنية في مكونات Qualcomm
تؤثر الثغرة التالية في مكونات Qualcomm، ويتم وصفها في مزيد من التفاصيل في نشرة أمان Qualcomm AMSS لشهر أيلول (سبتمبر) 2016.
| CVE | المراجع | مستوى الخطورة* | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0431 | A-32573899** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
* حدّد المورّد تقييم الخطورة لهذه الثغرات.
** لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
*** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في تعريف مهايئ MediaTek تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل MediaTek إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0432 | A-28332719* M-ALPS02708925 |
عالية | لا شيء** | 21 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
تصعيد الامتيازات الثغرة الأمنية في برنامج تشغيل شاشة اللمس من Synaptics
هناك ثغرة أمنية في برنامج تشغيل شاشة Synaptics تعمل باللمس تسمح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق شريحة الشاشة التي تعمل باللمس. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0433 | A-31913571* | عالية | Nexus 6P وNexus 9 وAndroid One وPixel وPixel XL | 8 أيلول (سبتمبر) 2016 |
| CVE-2017-0434 | A-33001936* | عالية | Pixel وPixel XL | 18 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تتعلّق برفع مستوى الأذونات في برنامج Qualcomm Secure Execution Environment Communicator driver
يمكن أن تؤدي ثغرة أمنية في الحصول على امتيازات إضافية في محرك Qualcomm Secure Execution Environment Communicator إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها عالية لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8480 | A-31804432 QC-CR#1086186 [2] |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 28 أيلول (سبتمبر) 2016 |
ثغرة أمنية في ملف التمكين في برنامج تشغيل الصوت من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8481 | A-31906415* QC-CR#1078000 |
عالية | Nexus 5X وNexus 6P وPixel وPixel XL | 1 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0435 | A-31906657* QC-CR#1078000 |
عالية | Nexus 5X وNexus 6P وPixel وPixel XL | 1 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0436 | A-32624661* QC-CR#1078000 |
عالية | Nexus 5X وNexus 6P وPixel وPixel XL | 2 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في "برنامج تشغيل Wi-Fi" من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا بالوصول إلى ميزات بمستوى امتياز أعلى، ما يتيح له تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0437 | A-32402310 QC-CR#1092497 |
عالية | Nexus 5X وPixel وPixel XL | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0438 | A-32402604 QC-CR#1092497 |
عالية | Nexus 5X وPixel وPixel XL | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0439 | A-32450647 QC-CR#1092059 |
عالية | Nexus 5X وPixel وPixel XL | 25 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8419 | A-32454494 QC-CR#1087209 |
عالية | Nexus 5X وPixel وPixel XL | 26 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8420 | A-32451171 QC-CR#1087807 |
عالية | Nexus 5X وPixel وPixel XL | 26 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8421 | A-32451104 QC-CR#1087797 |
عالية | Nexus 5X وPixel وPixel XL | 26 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0440 | A-33252788 QC-CR#1095770 |
عالية | Nexus 5X وPixel وPixel XL | 11 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0441 | A-32872662 QC-CR#1095009 |
عالية | Nexus 5X وPixel وPixel XL | 11 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0442 | A-32871330 QC-CR#1092497 |
عالية | Nexus 5X وPixel وPixel XL | 13 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0443 | A-32877494 QC-CR#1092497 |
عالية | Nexus 5X وPixel وPixel XL | 13 تشرين الثاني (نوفمبر) 2016 |
| CVE-2016-8476 | A-32879283 QC-CR#1091940 |
عالية | Nexus 5X وPixel وPixel XL | 14 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في ملف تشغيل الصوت Realtek تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت Realtek إلى منح تطبيق ضار محلي إذنًا تنفيذ رمز برمجي عشوائي في سياق ملف kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0444 | A-32705232* | عالية | Nexus 9 | 7 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في ملف تشغيل شاشة اللمس HTC تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل شاشة لمس HTC إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0445 | A-32769717* | عالية | Pixel وPixel XL | 9 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0446 | A-32917445* | عالية | Pixel وPixel XL | 15 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0447 | A-32919560* | عالية | Pixel وPixel XL | 15 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل الفيديو من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من NVIDIA إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0448 | A-32721029* N-CVE-2017-0448 |
عالية | Nexus 9 | 7 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً الوصول إلى عملية مميّزة، ويمكن التخفيف من حدتها من خلال إعدادات الأنظمة الأساسية الحالية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0449 | A-31707909* B-RB#32094 |
متوسط | Nexus 6 وNexus 6P | 23 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في Audioserver تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في Audioserver إلى تمكين تطبيق محلي ضار من تنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه تم التخفيف من حدتها من خلال إعدادات النظام الأساسي الحالية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0450 | A-32917432* | متوسط | Nexus 9 | 15 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في تصعيد الأذونات في نظام ملفات kernel
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى تصعيد الامتيازات في نظام ملفات النواة إلى السماح لتطبيق ضار على الجهاز بتجاوز وسائل الحماية التي تمنع تصعيد الامتيازات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تؤدي إلى تجاوز عام لنظام دفاعي شامل على مستوى المستخدم أو تكنولوجيا تخفيف استغلال الثغرات.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10044 | A-31711619* | متوسط | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تتعلّق بكشف المعلومات في Qualcomm Secure Execution Environment Communicator
هناك ثغرة أمنية في Qualcomm Secure Execution Environment Communicator تسمح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8414 | A-31704078 QC-CR#1076407 |
متوسط | هواتف Nexus 5X وNexus 6P وAndroid One وPixel وPixel XL | 23 أيلول (سبتمبر) 2016 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل الصوت من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0451 | A-31796345 QC-CR#1073129 [2] |
متوسط | هواتف Nexus 5X وNexus 6P وAndroid One وPixel وPixel XL | 27 أيلول (سبتمبر) 2016 |
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدّثًا لحلّ هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى تصحيح الأمان على الجهاز، يُرجى الاطّلاع على التعليمات الواردة في جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus.
- تعالج مستويات تصحيحات الأمان بتاريخ 01-02-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 01-02-2017.
- تعالج مستويات تصحيحات الأمان بتاريخ 05-02-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05-02-2017 وجميع مستويات التصحيحات السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التعديلات ضبط مستوى سلسلة التصحيح على:
[ro.build.version.security_patch]:[2017-02-01][ro.build.version.security_patch]:[2017-02-05]
2. لماذا تتضمّن هذه النشرة الإخبارية مستويَين لرمز تصحيح الأمان؟
تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان ليتمكّن شركاء Android من تعديل مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بحلّ جميع المشاكل المذكورة في هذه النشرة واستخدام أحدث مستوى من تصحيحات الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 شباط (فبراير) 2017 جميع المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 شباط (فبراير) 2017 أو إصدارًا أحدث جميع التصحيحات السارية في نشرات الأمان هذه (والسابقة).
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google المتأثّرة بكل مشكلة؟
في قسمَي تفاصيل ثغرة الأمان بتاريخ 01-02-2017 و 05-02-2017 ، يحتوي كل جدول على عمود أجهزة Google التي تم تعديلها الذي يغطي نطاق أجهزة Google المتأثرة التي تم تعديلها لكل مشكلة. يتضمّن هذا العمود بعض الخيارات:
- جميع أجهزة Google: إذا كانت المشكلة تؤثر في كل من أجهزة Pixel و"جميع الأجهزة"، سيظهر "كل الأجهزة" في عمود أجهزة Google التي تم تحديثها. يشير خيار "الكل" إلى الأجهزة المتوافقة التالية: Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
- بعض أجهزة Google: إذا لم تؤثّر المشكلة في جميع أجهزة Google ، يتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google التي تم تحديثها.
- لا تتوفّر أجهزة Google: إذا لم تتأثّر المشكلة بأي أجهزة Google تعمل بنظام التشغيل Android 7.0 ، سيظهر "لا يتوفّر" في عمود أجهزة Google التي تم تحديثها.
4. ما هي العناصر التي ترتبط بها الإدخالات في عمود "المراجع"؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم ربط هذه البادئات على النحو التالي:
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
إصدارات
- 6 شباط (فبراير) 2017: تم نشر النشرة.
- 8 شباط (فبراير) 2017: تم تعديل النشرة لتضمين روابط AOSP.