تاریخ انتشار 15 اسفند 1396 | به روز شده در 07 مارس 2017
بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک بهروزرسانی امنیتی برای دستگاههای Google از طریق بهروزرسانی خارج از هوا (OTA) منتشر کردهایم. تصاویر سفتافزار دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 مارس 2017 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه بهروزرسانی Pixel و Nexus مراجعه کنید.
در 6 فوریه 2017 یا قبل از آن، شرکا از مسائل شرح داده شده در بولتن مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.
شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از آسیبپذیری احتمالاً روی دستگاه آسیبدیده میگذارد، با این فرض که پلتفرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.
ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت های پلتفرم امنیتی اندروید و محافظت های خدماتی مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.
ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.
اطلاعیه ها
- این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطافپذیری برای رفع سریعتر زیرمجموعهای از آسیبپذیریها را که در همه دستگاههای Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسشها و پاسخهای رایج مراجعه کنید:
- 01/03/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان میدهد که تمام مشکلات مرتبط با 01/03/2017 (و تمام رشتههای سطح وصله امنیتی قبلی) برطرف شدهاند.
- 05/03/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان میدهد که تمام مسائل مربوط به 2017-03-01 و 2017-03-05 (و تمام رشتههای سطح وصله امنیتی قبلی) برطرف شده است.
- دستگاههای پشتیبانیشده Google یک بهروزرسانی OTA با سطح وصله امنیتی 05 مارس 2017 دریافت خواهند کرد.
کاهش خدمات اندروید و گوگل
این خلاصهای از کاهشهای ارائه شده توسط پلتفرم امنیتی Android و محافظتهای سرویس، مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.
- بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
- تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامههای بالقوه مضر طراحی شدهاند، بهطور فعال نظارت بر سوء استفاده میکند. تأیید برنامهها بهطور پیشفرض در دستگاههای دارای سرویسهای تلفن همراه Google فعال است و به ویژه برای کاربرانی که برنامههایی را از خارج از Google Play نصب میکنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش میکند تا نصب برنامههای مخرب شناختهشدهای را که از آسیبپذیری افزایش امتیاز سوءاستفاده میکنند، شناسایی و مسدود کند. اگر چنین برنامهای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع میدهد و تلاش میکند تا برنامه شناسایی شده را حذف کند.
- در صورت لزوم، برنامههای Google Hangouts و Messenger رسانهها را بهطور خودکار به فرآیندهایی مانند Mediaserver منتقل نمیکنند.
سپاسگزاریها
مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:
- الکساندر پوتاپنکو از تیم Google Dynamic Tools: CVE-2017-0537
- Baozeng Ding، Chengming Yang، Peng Xiao و Yang Song از گروه امنیتی موبایل علی بابا: CVE-2017-0506
- Baozeng Ding، Ning You، Chengming Yang، Peng Xiao و Yang Song از گروه امنیتی موبایل علی بابا: CVE-2017-0463
- بیلی لائو از امنیت اندروید: CVE-2017-0335، CVE-2017-0336، CVE-2017-0338، CVE-2017-0460
- derrek ( @derrekr6 ): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
- derrek ( @derrekr6 ) و اسکات بائر ( @ScottyBauer1 ): CVE-2017-0521
- دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2017-0334، CVE-2017-0456، CVE-2017-0457، CVE-2017-0525
- En He ( @heeeeen4x ) و بو لیو از تیم MS509 : CVE-2017-0490
- Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-0502 CVE-2017-0524، CVE-2017-0529، CVE-2017-0536
- هائو چن و گوانگ گونگ از تیم آلفا، Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
- هیروکی یاماموتو و فانگ چن از Sony Mobile Communications Inc.: CVE-2017-0481
- محققان IBM Security X-Force Sagi Kedmi و Roee Hay: CVE-2017-0510
- Jianjun Dai ( @Jioun_dai ) از Qihoo 360 Skyeye Labs : CVE-2017-0478
- Jianqiang Zhao ( @jianqiangzhao ) و pjf آزمایشگاه IceSword، Qihoo 360: CVE-2016-8416، CVE-2016-8478، CVE-2017-0458، CVE-2017-0459، CVE-2017-0459، CVE-2019، CVE-2016-2016 , CVE-2017-0533, CVE-2017-0534
- Lubo Zhang ، Tong Lin ، Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2016-8479
- ماکوتو اونوکی از گوگل: CVE-2017-0491
- Mingjian Zhou ( @Mingjian_Zhou )، Hanxiang Wen ، و Xuxian Jiang از تیم C0RE : CVE-2017-0479، CVE-2017-0480
- ناتان کراندال ( @natecray ): CVE-2017-0535
- ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا موتورز: CVE-2017-0306
- پنگفی دینگ (丁鹏飞)، چنفو بائو (包沉浮)، لنکس وی (韦韬) از Baidu X-Lab (百度安全实验室): CVE-2016-8417
- Qidan He (何淇丹) ( @flanker_hqd ) از KeenLab، Tencent: CVE-2017-0337، CVE-2017-0476
- Qing Zhang از Qihoo 360 و Guangdong Bai از موسسه فناوری سنگاپور (SIT): CVE-2017-0496
- Quhe و wanchouchou از Ant-Financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
- صحرای ارتباطات امن در DarkMatter: CVE-2017-0528
- سالل ( @chris_salls ) از تیم Shellphish Grill، UC Santa Barbara: CVE-2017-0505
- اسکات بائر ( @ScottyBauer1 ): CVE-2017-0504, CVE-2017-0516
- Sean Beaupre (beaups): CVE-2017-0455
- Seven Shen ( @lingtongshen ) از Trend Micro: CVE-2017-0452
- شینیچی ماتسوموتو از فوجیتسو: CVE-2017-0498
- استفان مارکز از ByteRev : CVE-2017-0489
- Svetoslav Ganov از گوگل: CVE-2017-0492
- Tong Lin ، Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2017-0333
- VEO ( @VYSEa ) تیم پاسخگویی به تهدیدات موبایل ، Trend Micro : CVE-2017-0466، CVE-2017-0467، CVE-2017-0468، CVE-2017-0469، CVE-2017-0470، CVE-2017-0466، CVE-2017-0467، CVE-2017-0472، CVE-2017-0473، CVE-2017-0482، CVE-2017-0484، CVE-2017-0485، CVE-2017-0486، CVE-2017-0487، CVE-49، CVE-2017-201 2017-0495
- Wish Wu (吴潍浠 此彼) ( @wish_wu ) از Ant-Financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-04
- یو پان تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
- Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2017-0526، CVE-2017-0527
- یوکی لو ( @nikos233 )، ونکه دو ، داچنگ شائو ، مینگجیان ژو ( @Mingjian_Zhou )، و ژوکیان جیانگ از تیم C0RE : CVE-2017-0483
- Zinuo Han ( weibo.com/ele7enxxh ) از مرکز پاسخگویی امنیتی چنگدو، Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497
سطح وصله امنیتی 01/03/2017—جزئیات آسیب پذیری
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله ۰۳-۰۳-۲۰۱۷ اعمال میشوند، ارائه میکنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاههای بهروزرسانیشده Google، نسخههای بهروزرسانیشده AOSP (در صورت لزوم) و تاریخ گزارششده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
آسیب پذیری اجرای کد از راه دور در OpenSSL و BoringSSL
یک آسیبپذیری اجرای کد از راه دور در OpenSSL و BoringSSL میتواند مهاجم را با استفاده از یک فایل ساختهشده خاص قادر به ایجاد خرابی حافظه در طول پردازش فایل و داده کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب یک فرآیند ممتاز، به عنوان بحرانی رتبه بندی می شود.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | بحرانی | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 5 اوت 2016 |
آسیب پذیری اجرای کد از راه دور در Mediaserver
یک آسیبپذیری اجرای کد از راه دور در Mediaserver میتواند مهاجم را با استفاده از یک فایل خاص ساخته شده قادر سازد تا حافظه را در طول فایل رسانه و پردازش دادهها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [ 2 ] | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 25 نوامبر 2016 |
| CVE-2017-0467 | A-33250932 [ 2 ] | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 30 نوامبر 2016 |
| CVE-2017-0468 | A-33351708 [ 2 ] | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 5 دسامبر 2016 |
| CVE-2017-0469 | الف-33450635 | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 8 دسامبر 2016 |
| CVE-2017-0470 | A-33818500 | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 21 دسامبر 2016 |
| CVE-2017-0471 | الف-33816782 | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 21 دسامبر 2016 |
| CVE-2017-0472 | A-33862021 | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 23 دسامبر 2016 |
| CVE-2017-0473 | الف-33982658 | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 30 دسامبر 2016 |
| CVE-2017-0474 | الف-32589224 | بحرانی | همه | 7.0، 7.1.1 | گوگل داخلی |
افزایش آسیب پذیری امتیاز در تأیید کننده بازیابی
افزایش آسیب پذیری امتیاز در تأیید کننده بازیابی می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0475 | الف-31914369 | بحرانی | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 2 اکتبر 2016 |
آسیب پذیری اجرای کد از راه دور در AOSP Messaging
یک آسیبپذیری اجرای کد از راه دور در AOSP Messaging میتواند مهاجم را با استفاده از یک فایل ساختهشده خاص قادر سازد تا حافظه را در طول فایل رسانه و پردازش دادهها خراب کند. این مسئله به دلیل امکان اجرای کد از راه دور در چارچوب یک فرآیند غیرمجاز، به عنوان High رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0476 | الف-33388925 | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 6 دسامبر 2016 |
آسیب پذیری اجرای کد از راه دور در libgdx
یک آسیبپذیری اجرای کد از راه دور در libgdx میتواند مهاجم را با استفاده از یک فایل ساختهشده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند. این موضوع به دلیل امکان اجرای کد از راه دور در برنامه ای که از این کتابخانه استفاده می کند، به عنوان High رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0477 | الف-33621647 | بالا | همه | 7.1.1 | 14 دسامبر 2016 |
آسیب پذیری اجرای کد از راه دور در کتابخانه Framesequence
یک آسیبپذیری اجرای کد از راه دور در کتابخانه Framesequence میتواند مهاجم را با استفاده از یک فایل ساختهشده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند. این مشکل به دلیل امکان اجرای کد از راه دور در برنامه ای که از کتابخانه Framesequence استفاده می کند، به عنوان High رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0478 | الف-33718716 | بالا | همه | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 16 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در NFC
افزایش آسیب پذیری امتیاز در NFC می تواند یک مهاجم نزدیک را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0481 | الف-33434992 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 6 نوامبر 2016 |
افزایش آسیب پذیری امتیاز در Audioserver
افزایش آسیب پذیری امتیاز در Audioserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [ 2 ] | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 7 نوامبر 2016 |
| CVE-2017-0480 | A-32705429 [ 2 ] | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 7 نوامبر 2016 |
آسیب پذیری انکار سرویس در Mediaserver
آسیبپذیری انکار سرویس در Mediaserver میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده خاص برای هنگ کردن یا راهاندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار سرویس از راه دور، با شدت بالا رتبه بندی می شود.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 22 نوامبر 2016 |
| CVE-2017-0483 | A-33137046 [ 2 ] | بالا | همه | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 24 نوامبر 2016 |
| CVE-2017-0484 | A-33298089 [ 2 ] | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 1 دسامبر 2016 |
| CVE-2017-0485 | الف-33387820 | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 6 دسامبر 2016 |
| CVE-2017-0486 | الف-33621215 | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 14 دسامبر 2016 |
| CVE-2017-0487 | الف-33751193 | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 19 دسامبر 2016 |
| CVE-2017-0488 | الف-34097213 | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1 | گوگل داخلی |
افزایش آسیب پذیری امتیاز در مدیریت مکان
افزایش آسیبپذیری امتیاز در Location Manager میتواند یک برنامه مخرب محلی را قادر سازد تا از حفاظتهای سیستمعامل برای دادههای مکان عبور کند. این مشکل به عنوان متوسط رتبه بندی شده است زیرا می تواند برای تولید داده های نادرست استفاده شود.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0489 | الف-33091107 | در حد متوسط | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 20 نوامبر 2016 |
افزایش آسیب پذیری امتیاز در وای فای
افزایش آسیب پذیری امتیاز در وای فای می تواند یک برنامه مخرب محلی را قادر به حذف داده های کاربر کند. این مشکل بهعنوان متوسط رتبهبندی میشود، زیرا یک دور زدن محلی از الزامات تعامل کاربر است که معمولاً به شروع کاربر یا اجازه کاربر نیاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [ 2 ] [ 3 ] | در حد متوسط | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 25 نوامبر 2016 |
افزایش آسیب پذیری امتیاز در Package Manager
افزایش آسیب پذیری امتیاز در Package Manager می تواند یک برنامه مخرب محلی را قادر سازد تا از حذف نصب برنامه ها یا حذف مجوزها از برنامه ها توسط کاربران جلوگیری کند. این مشکل بهعنوان «متوسط» رتبهبندی میشود، زیرا یک دور زدن محلی از الزامات تعامل کاربر است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0491 | الف-32553261 | در حد متوسط | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | گوگل داخلی |
افزایش آسیب پذیری امتیاز در رابط کاربری سیستم
افزایش آسیب پذیری امتیاز در رابط کاربری سیستم می تواند یک برنامه مخرب محلی را قادر سازد تا یک پوشش رابط کاربری ایجاد کند که کل صفحه را پوشش می دهد. این مشکل بهعنوان متوسط رتبهبندی میشود، زیرا یک دور زدن محلی از الزامات تعامل کاربر است که معمولاً به شروع کاربر یا اجازه کاربر نیاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0492 | الف-30150688 | در حد متوسط | همه | 7.1.1 | گوگل داخلی |
آسیب پذیری افشای اطلاعات در AOSP Messaging
یک آسیبپذیری افشای اطلاعات در پیامرسانی AOSP میتواند یک مهاجم راه دور را با استفاده از یک فایل ساختهشده خاص قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این مشکل بهعنوان متوسط رتبهبندی شده است زیرا میتوان از آن برای دسترسی به دادههای حساس بدون اجازه استفاده کرد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0494 | الف-32764144 | در حد متوسط | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 9 نوامبر 2016 |
آسیب پذیری افشای اطلاعات در Mediaserver
یک آسیبپذیری افشای اطلاعات در Mediaserver میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این مشکل بهعنوان متوسط رتبهبندی شده است زیرا میتوان از آن برای دسترسی به دادههای حساس بدون اجازه استفاده کرد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0495 | الف-33552073 | در حد متوسط | همه | 6.0، 6.0.1، 7.0، 7.1.1 | 11 دسامبر 2016 |
آسیب پذیری انکار سرویس در Setup Wizard
آسیب پذیری انکار سرویس در Setup Wizard می تواند به یک برنامه مخرب محلی اجازه دهد تا به طور موقت دسترسی به دستگاه آسیب دیده را مسدود کند. این مشکل به عنوان متوسط رتبه بندی شده است زیرا ممکن است برای تعمیر دستگاه نیاز به بازنشانی کارخانه ای داشته باشد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | در حد متوسط | هیچ یک** | 5.0.2، 5.1.1، 6.0، 6.0.1 | 14 سپتامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری برای دستگاههای Google موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
آسیب پذیری انکار سرویس در Mediaserver
آسیبپذیری انکار سرویس در Mediaserver میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده خاص برای هنگ کردن یا راهاندازی مجدد دستگاه استفاده کند. این مشکل به عنوان متوسط رتبه بندی شده است زیرا به پیکربندی دستگاه غیر معمول نیاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | در حد متوسط | همه | 7.0، 7.1.1 | 2 دسامبر 2016 |
آسیب پذیری انکار سرویس در Setup Wizard
آسیبپذیری انکار سرویس در Setup Wizard میتواند به مهاجم محلی اجازه دهد تا پس از بازنشانی کارخانهای، به سیستم حساب Google نیاز داشته باشد. این مشکل به عنوان متوسط رتبه بندی شده است زیرا ممکن است برای تعمیر دستگاه نیاز به بازنشانی کارخانه ای داشته باشد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [ 2 ] | در حد متوسط | همه | 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | گوگل داخلی |
آسیب پذیری انکار سرویس در Audioserver
آسیبپذیری انکار سرویس در Audioserver میتواند یک برنامه مخرب محلی را قادر سازد تا دستگاه را قطع یا راهاندازی مجدد کند. این موضوع به دلیل امکان انکار موقت سرویس به عنوان Low رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0499 | الف-32095713 | کم | همه | 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 11 اکتبر 2016 |
سطح وصله امنیتی 05/03/2017—جزئیات آسیب پذیری
در بخشهای زیر، جزئیات هر یک از آسیبپذیریهای امنیتی که در سطح وصله ۰۵-۰۳-۲۰۱۷ اعمال میشوند را ارائه میکنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاههای بهروزرسانیشده Google، نسخههای بهروزرسانیشده AOSP (در صورت لزوم) و تاریخ گزارششده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
افزایش آسیب پذیری امتیاز در اجزای MediaTek
افزایش آسیبپذیری امتیاز در اجزای MediaTek، از جمله درایور M4U، درایور صدا، درایور صفحه لمسی، درایور GPU و درایور Command Queue، میتواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 | بحرانی | هیچ یک** | 27 آوریل 2016 |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 | بحرانی | هیچ یک** | 27 آوریل 2016 |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 | بحرانی | هیچ یک** | 27 آوریل 2016 |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 | بحرانی | هیچ یک** | 28 آوریل 2016 |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 | بحرانی | هیچ یک** | 9 جولای 2016 |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 | بحرانی | هیچ یک** | 28 سپتامبر 2016 |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 | بحرانی | هیچ یک** | 18 اکتبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی NVIDIA
افزایش آسیب پذیری امتیاز در درایور NVIDIA GPU می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 | بحرانی | پیکسل سی | 6 اکتبر 2016 |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 | بحرانی | پیکسل سی | 21 نوامبر 2016 |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 | بحرانی | پیکسل سی | 25 دسامبر 2016 |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 | بحرانی | Nexus 9 | 6 ژانویه 2017 |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 | بحرانی | پیکسل سی | گوگل داخلی |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در زیرسیستم هسته ION
افزایش آسیب پذیری امتیاز در زیرسیستم هسته ION می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | بحرانی | Android One، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Pixel، Pixel XL | 6 اکتبر 2016 |
| CVE-2017-0508 | A-33940449* | بحرانی | پیکسل سی | 28 دسامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom
افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 | بحرانی | هیچ یک** | 12 اکتبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیبپذیری امتیاز در دیباگر FIQ هسته
افزایش آسیب پذیری امتیاز در دیباگر FIQ هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در بافت هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | بحرانی | Nexus 9 | 25 اکتبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی کوالکام
افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 | بحرانی | Android One، Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL | 29 سپتامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته
افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-9806 | الف-33393474 هسته بالادست | بحرانی | Pixel C، Pixel، Pixel XL | 4 دسامبر 2016 |
| CVE-2016-10200 | الف-33753815 هسته بالادست | بحرانی | Nexus 5X، Nexus 6P، Pixel، Pixel XL | 19 دسامبر 2016 |
آسیب پذیری در اجزای کوالکام
آسیبپذیری زیر بر اجزای Qualcomm تأثیر میگذارد و در بولتن امنیتی Qualcomm AMSS سپتامبر 2016 با جزئیات بیشتر توضیح داده شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2016-8485 | A-28823681** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2016-8486 | A-28823691** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2016-8487 | A-28823724** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2016-8488 | A-31625756** | بحرانی | هیچ یک*** | کوالکام داخلی |
* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
*** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته
افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-8655 | الف-33358926 هسته بالادست | بالا | Android One، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Pixel، Pixel XL | 12 اکتبر 2016 |
| CVE-2016-9793 | الف-33363517 هسته بالادست | بالا | Android One، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Pixel، Pixel XL | 2 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور سخت افزار ورودی کوالکام
افزایش آسیب پذیری امتیاز در درایور سخت افزار ورودی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 | بالا | اندروید وان، پیکسل، پیکسل XL | 21 اکتبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور سنسور سخت افزار مدیاتک
افزایش آسیب پذیری امتیاز در درایور حسگر سخت افزار MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 | بالا | هیچ یک** | 22 اکتبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC
افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL | 22 سپتامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور سنسور اثر انگشت کوالکام
افزایش آسیب پذیری امتیاز در درایور حسگر اثر انگشت کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 | بالا | پیکسل، پیکسل XL | 24 اکتبر 2016 |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 | بالا | پیکسل، پیکسل XL | 24 اکتبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور موتور کریپتو کوالکام
افزایش آسیب پذیری امتیاز در درایور موتور کریپتو کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0520 | الف-31750232 QC-CR#1082636 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL | 24 سپتامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام
افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 | بالا | پیکسل، پیکسل XL | 31 اکتبر 2016 |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 | بالا | Nexus 5X، Nexus 6P، Android One، Pixel، Pixel XL | 15 نوامبر 2016 |
افزایش آسیب پذیری امتیاز در MediaTek APK
افزایش آسیب پذیری امتیاز در یک APK MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این موضوع به دلیل امکان اجرای کد دلخواه محلی در یک فرآیند ممتاز به عنوان High رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 | بالا | هیچ یک** | 15 نوامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام
افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0464 | الف-32940193 QC-CR#1102593 | بالا | Nexus 5X، Pixel، Pixel XL | 15 نوامبر 2016 |
| CVE-2017-0453 | الف-33979145 QC-CR#1105085 | بالا | Nexus 5X، Android One | 30 دسامبر 2016 |
| CVE-2017-0523 | الف-32835279 QC-CR#1096945 | بالا | هیچ یک* | گوگل داخلی |
* دستگاههای پشتیبانیشده Google در Android نسخه 7.0 یا بالاتر که همه بهروزرسانیهای موجود را نصب کردهاند تحت تأثیر این آسیبپذیری قرار نمیگیرند.
افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics
افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | بالا | Android One، Nexus 5X، Nexus 6P، Nexus 9، Pixel، Pixel XL | 18 نوامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور IPA کوالکام
افزایش آسیب پذیری امتیاز در درایور Qualcomm IPA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 | بالا | Nexus 5X، Nexus 6P، Android One، Pixel، Pixel XL | 23 نوامبر 2016 |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 | بالا | Nexus 5X، Nexus 6P، Android One، Pixel، Pixel XL | 25 نوامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در HTC Sensor Hub Driver
افزایش آسیب پذیری امتیاز در HTC Sensor Hub Driver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | بالا | Nexus 9 | 25 دسامبر 2016 |
| CVE-2017-0527 | A-33899318* | بالا | Nexus 9, Pixel, Pixel XL | Dec 25, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in NVIDIA GPU driver
An elevation of privilege vulnerability in the NVIDIA GPU driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of a local permanent device compromise, which may require reflashing the operating system to repair the device.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 | بالا | None** | Nov 28, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Elevation of privilege vulnerability in Qualcomm networking driver
An elevation of privilege vulnerability in the Qualcomm networking driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 | بالا | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Nov 30, 2016 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 | بالا | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in kernel security subsystem
An elevation of privilege vulnerability in the kernel security subsystem could enable a local malicious application to to execute code in the context of a privileged process. This issue is rated as High because it is a general bypass for a kernel level defense in depth or exploit mitigation technology.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | بالا | Pixel, Pixel XL | Dec 4, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Qualcomm SPCom driver
An elevation of privilege vulnerability in the Qualcomm SPCom driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 | بالا | None* | Google internal |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 | بالا | None* | Google internal |
* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in kernel networking subsystem
An information disclosure vulnerability in the kernel networking subsystem could enable a local proximate attacker to gain access to sensitive information. This issue is rated as High because it could be used to access data without permission.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 هسته بالادست | بالا | Nexus Player | Nov 9, 2014 |
Information disclosure vulnerability in MediaTek driver
An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 | بالا | None** | Apr 27, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in Qualcomm bootloader
An information disclosure vulnerability in the Qualcomm bootloader could help to enable a local malicious application to to execute arbitrary code within the context of the bootloader. This issue is rated as High because it is a general bypass for a bootloader level defense in depth or exploit mitigation technology.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 | بالا | Pixel, Pixel XL | Oct 21, 2016 |
Information disclosure vulnerability in Qualcomm power driver
An information disclosure vulnerability in the Qualcomm power driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 | بالا | Nexus 5X, Nexus 6P | Dec 19, 2016 |
Information disclosure vulnerability in NVIDIA GPU driver
An information disclosure vulnerability in the NVIDIA GPU driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 | بالا | Pixel C | Nov 30, 2016 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 | بالا | Pixel C | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Denial of service vulnerability in kernel cryptographic subsystem
A denial of service vulnerability in the kernel cryptographic subsystem could enable a remote attacker to use a specially crafted network packet to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 هسته بالادست | بالا | Nexus 5X, Nexus 6P, Pixel, Pixel XL | Oct 12, 2016 |
Elevation of privilege vulnerability in Qualcomm camera driver (device specific)
An elevation of privilege vulnerability in the Qualcomm camera driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 | در حد متوسط | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Oct 21, 2016 |
Information disclosure vulnerability in Qualcomm Wi-Fi driver
An information disclosure vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 | در حد متوسط | Android One, Nexus 5X, Pixel, Pixel XL | Oct 9, 2016 |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 | در حد متوسط | Pixel, Pixel XL | Nov 3, 2016 |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 | در حد متوسط | Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL | Nov 13, 2016 |
Information disclosure vulnerability in MediaTek video codec driver
An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 | در حد متوسط | None** | Oct 22, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.
Information disclosure vulnerability in Qualcomm video driver
An information disclosure vulnerability in the Qualcomm video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 | در حد متوسط | Pixel, Pixel XL | Oct 27, 2016 |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 | در حد متوسط | Pixel, Pixel XL | Oct 28, 2016 |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 | در حد متوسط | Pixel, Pixel XL | Oct 28, 2016 |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 | در حد متوسط | Pixel, Pixel XL | Oct 28, 2016 |
Information disclosure vulnerability in Qualcomm camera driver
An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 | در حد متوسط | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Nov 4, 2016 |
| CVE-2016-8477 | A-32720522 QC-CR#1090007 [ 2 ] | در حد متوسط | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Nov 7, 2016 |
Information disclosure vulnerability in HTC sound codec driver
An information disclosure vulnerability in the HTC sound codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | در حد متوسط | Nexus 9 | Dec 11, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Synaptics touchscreen driver
An information disclosure vulnerability in the Synaptics touchscreen driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | در حد متوسط | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | Dec 12, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in kernel USB gadget driver
An information disclosure vulnerability in the kernel USB gadget driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | در حد متوسط | Pixel C | Google internal |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Information disclosure vulnerability in Qualcomm camera driver
An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Low because it first requires compromising a privileged process.
| CVE | منابع | شدت | Updated Google devices | Date reported |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 | Low | Nexus 5X, Nexus 6P, Android One | Nov 10, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Common Questions and Answers
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعملهای زمانبندی بهروزرسانی Pixel و Nexus را بخوانید.
- Security patch levels of 2017-03-01 or later address all issues associated with the 2017-03-01 security patch level.
- Security patch levels of 2017-03-05 or later address all issues associated with the 2017-03-05 security patch level and all previous patch levels.
سازندگان دستگاههایی که شامل این بهروزرسانیها میشوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. چرا این بولتن دارای دو سطح وصله امنیتی است؟
این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.
- Devices that use the March 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
- Devices that use the security patch level of March 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.
شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.
3. How do I determine which Google devices are affected by each issue?
In the 2017-03-01 and 2017-03-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:
- All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
- Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
- No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.
4. What do the entries in the references column map to?
ورودیهای زیر ستون مراجع جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند. These prefixes map as follows:
| پیشوند | ارجاع |
|---|---|
| آ- | شناسه باگ اندروید |
| QC- | شماره مرجع کوالکام |
| M- | شماره مرجع مدیاتک |
| N- | شماره مرجع NVIDIA |
| ب- | شماره مرجع Broadcom |
Revisions
- March 06, 2017: Bulletin published.
- March 07, 2017: Bulletin revised to include AOSP links.