این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

بولتن امنیتی اندروید - آوریل 2017

منتشر شده در 03 آوریل 2017 | به روز شده در 17 آگوست 2017

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 آوریل 2017 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه به‌روزرسانی Pixel و Nexus مراجعه کنید.

در 6 مارس 2017 یا قبل از آن، شرکا از مسائل شرح داده شده در بولتن مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت های پلتفرم امنیتی اندروید و محافظت های خدماتی مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌ها را که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
- 01/04/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/04/2017 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
- 05/04/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2017-04-01 و 2017-04-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) بررسی شده‌اند.
دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی OTA با سطح وصله امنیتی 05 آوریل 2017 دریافت خواهند کرد.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه‌شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به‌طور فعال نظارت بر سوء استفاده می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

Aravind Machiry (donfos) از تیم Shellphish Grill: CVE-2016-5349
Daxing Guo ( @freener0 ) از آزمایشگاه Xuanwu، Tencent: CVE-2017-0585، CVE-2017-0553
درک ( @derrekr6 ) و اسکات بائر: CVE-2017-0576
گال بنیامینی از پروژه صفر: CVE-2017-0571، CVE-2017-0570، CVE-2017-0572، CVE-2017-0569، CVE-2017-0561
Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-05, CVE-2017-0573
گوانگ گونگ (龚广) ( @oldfresher ) از تیم آلفا، Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
Hao Chen و Guang Gong از تیم آلفا، Qihoo 360 Technology Co. Ltd.: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0571, CVE-2 -0567
ایان فاستر ( @lanrat ): CVE-2017-0554
جک تانگ از Trend Micro Inc.: CVE-2017-0579
Jianjun Dai ( @Jioun_dai ) از Qihoo 360 Skyeye Labs : CVE-2017-0559, CVE-2017-0541
Jianqiang Zhao ( @jianqiangzhao ) و pjf آزمایشگاه IceSword، Qihoo 360: CVE-2017-6425، CVE-2016-5346
Lubo Zhang ( zlbzlb815@163.com ) از تیم C0RE و Yonggang Guo ( @guoygang ) از IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
مارک سالیزین از گوگل: CVE-2017-0558
مایک اندرسون ( @manderbot ) و ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا: CVE-2017-0327، CVE-2017-0328
آهنگ پنگ شیائو، چنگ مینگ یانگ، نینگ یو، چائو یانگ و یانگ گروه امنیت موبایل علی بابا: CVE-2017-0565
پنگفی دینگ (丁鹏飞)، چنفو بائو (包沉浮) و لنکس وی (韦韬) از Baidu X-Lab (百度安全实验室): CVE-2016-10236
Qidan He (何淇丹 - @flanker_hqd ) از KeenLab، Tencent: CVE-2017-0544، CVE-2017-0325
Roee Hay ( @roeehay ) از Aleph Research، HCL Technologies: CVE-2017-0582، CVE-2017-0563
اسکات بائر ( @ScottyBauer1 ): CVE-2017-0562, CVE-2017-0339
Seven Shen ( @lingtongshen ) از تیم تحقیقاتی TrendMicro Mobile Threat: CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
تیم بکر: CVE-2017-0546
اوما سانکار پرادان ( @umasankar_iitd ): CVE-2017-0560
VEO ( @VYSEa ) تیم پاسخگویی به تهدیدات موبایل ، Trend Micro : CVE-2017-0555، CVE-2017-0538، CVE-2017-0539، CVE-2017-0557، CVE-2017-0556
Weichao Sun ( @sunblate ) از Alibaba Inc: CVE-2017-0549
ونلین یانگ ( @wenlin_yang )، گوانگ گونگ ( @oldfresher )، و هائو چن از تیم آلفا، Qihoo 360 Technology Co. Ltd.: CVE-2017-0580، CVE-2017-0577
زینو هان از مرکز پاسخگویی امنیتی چنگدو شرکت فناوری Qihoo 360: CVE-2017-0548
زوبین میترا از گوگل: CVE-2017-0462

سطح وصله امنیتی 01/04/2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیاتی را برای هر یک از آسیب‌پذیری‌های امنیتی ارائه می‌دهیم که در سطح وصله 01-04-2017 اعمال می‌شوند. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، وجود دارد. دستگاه های Google به روز شده، نسخه های AOSP به روز شده (در صورت لزوم) و تاریخ گزارش شده است. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در Mediaserver

یک آسیب‌پذیری اجرای کد از راه دور در Mediaserver می‌تواند مهاجم را با استفاده از یک فایل خاص ساخته شده قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده‌ها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0538	الف-33641588	بحرانی	همه	6.0، 6.0.1، 7.0، 7.1.1	13 دسامبر 2016
CVE-2017-0539	A-33864300	بحرانی	همه	5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	23 دسامبر 2016
CVE-2017-0541	A-34031018	بحرانی	همه	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	1 ژانویه 2017
CVE-2017-0542	الف-33934721	بحرانی	همه	6.0، 6.0.1، 7.0، 7.1.1	گوگل داخلی
CVE-2017-0543	الف-34097866	بحرانی	همه	6.0، 6.0.1، 7.0، 7.1.1	گوگل داخلی

افزایش آسیب پذیری امتیاز در CameraBase

افزایش آسیب پذیری امتیاز در CameraBase می تواند یک برنامه مخرب محلی را قادر به اجرای کد دلخواه کند. این مشکل به عنوان High رتبه بندی شده است زیرا یک اجرای کد دلخواه محلی در یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0544	الف-31992879	بالا	همه	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	6 اکتبر 2016

افزایش آسیب پذیری امتیاز در Audioserver

افزایش آسیب پذیری امتیاز در Audioserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0545	الف-32591350	بالا	همه	5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	31 اکتبر 2016

افزایش آسیب پذیری امتیاز در SurfaceFlinger

افزایش آسیب پذیری امتیاز در SurfaceFlinger می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0546	الف-32628763	بالا	همه	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	2 نوامبر 2016

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا یک دور زدن کلی برای محافظت از سیستم عامل است که داده های برنامه را از سایر برنامه ها جدا می کند.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0547	الف-33861560	بالا	همه	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	22 دسامبر 2016

آسیب پذیری انکار سرویس در لیبسکیا

آسیب‌پذیری انکار سرویس از راه دور در libskia می‌تواند مهاجم را قادر می‌سازد تا از یک فایل ساخته‌شده ویژه برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار سرویس از راه دور، با شدت بالا رتبه بندی می شود.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0548	الف-33251605	بالا	همه	7.0، 7.1.1	29 نوامبر 2016

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس از راه دور در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار سرویس از راه دور، با شدت بالا رتبه بندی می شود.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0549	الف-33818508	بالا	همه	6.0، 6.0.1، 7.0، 7.1.1	20 دسامبر 2016
CVE-2017-0550	الف-33933140	بالا	همه	6.0، 6.0.1، 7.0، 7.1.1	گوگل داخلی
CVE-2017-0551	A-34097231 [ 2 ]	بالا	همه	6.0، 6.0.1، 7.0، 7.1.1	گوگل داخلی
CVE-2017-0552	الف-34097915	بالا	همه	6.0، 6.0.1، 7.0، 7.1.1	گوگل داخلی

افزایش آسیب پذیری امتیاز در libnl

افزایش آسیب پذیری امتیاز در libnl می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه سرویس Wi-Fi اجرا کند. این مشکل به‌عنوان متوسط رتبه‌بندی می‌شود زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و با پیکربندی‌های پلتفرم فعلی کاهش می‌یابد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0553	الف-32342065	در حد متوسط	همه	5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	21 اکتبر 2016

افزایش آسیب پذیری امتیازات در تلفن

افزایش آسیب‌پذیری امتیاز در مؤلفه Telephony می‌تواند یک برنامه مخرب محلی را قادر سازد تا به قابلیت‌های خارج از سطوح مجوز دسترسی داشته باشد. این مشکل به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا می‌توان از آن برای دسترسی به قابلیت‌های بالا استفاده کرد، که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0554	A-33815946 [ 2 ]	در حد متوسط	همه	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	20 دسامبر 2016

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌ها بدون اجازه استفاده کرد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0555	الف-33551775	در حد متوسط	همه	6.0، 6.0.1، 7.0، 7.1.1	12 دسامبر 2016
CVE-2017-0556	الف-34093952	در حد متوسط	همه	6.0، 6.0.1، 7.0، 7.1.1	4 ژانویه 2017
CVE-2017-0557	الف-34093073	در حد متوسط	همه	6.0، 6.0.1، 7.0، 7.1.1	4 ژانویه 2017
CVE-2017-0558	الف-34056274	در حد متوسط	همه	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	گوگل داخلی

آسیب پذیری افشای اطلاعات در لیبسکیا

یک آسیب‌پذیری افشای اطلاعات در libskia می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌ها بدون اجازه استفاده کرد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0559	الف-33897722	در حد متوسط	همه	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	25 دسامبر 2016

آسیب پذیری افشای اطلاعات در بازنشانی کارخانه

یک آسیب‌پذیری افشای اطلاعات در فرآیند بازنشانی کارخانه می‌تواند یک مهاجم مخرب محلی را قادر به دسترسی به داده‌های مالک قبلی کند. این موضوع به دلیل امکان دور زدن حفاظت دستگاه، به عنوان متوسط رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2017-0560	A-30681079	در حد متوسط	همه	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1	گوگل داخلی

سطح وصله امنیتی 05/04/2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۵-۰۴-۲۰۱۷ اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب‌پذیری اجرای کد از راه دور در میان‌افزار Wi-Fi Broadcom

یک آسیب‌پذیری اجرای کد از راه دور در میان‌افزار Wi-Fi Broadcom می‌تواند یک مهاجم راه دور را قادر سازد تا کد دلخواه را در چارچوب Wi-Fi SoC اجرا کند. این مشکل به دلیل امکان اجرای کد از راه دور در زمینه Wi-Fi SoC به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0561	A-34199105* B-RB#110814	بحرانی	Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player	9 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب‌پذیری اجرای کد از راه دور در درایور موتور کریپتو کوالکام

یک آسیب‌پذیری اجرای کد از راه دور در درایور موتور کریپتو کوالکام می‌تواند یک مهاجم راه دور را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این موضوع به دلیل امکان اجرای کد از راه دور در زمینه هسته، به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-10230	الف-34389927 QC-CR#1091408	بحرانی	Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One	10 ژانویه 2017

آسیب پذیری اجرای کد از راه دور در زیرسیستم شبکه هسته

یک آسیب پذیری اجرای کد از راه دور در زیرسیستم شبکه هسته می تواند یک مهاجم راه دور را قادر سازد تا کد دلخواه را در بافت هسته اجرا کند. این موضوع به دلیل امکان اجرای کد از راه دور در زمینه هسته، به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-10229	الف-32813456 هسته بالادست	بحرانی	Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Pixel C، Android One، Nexus Player	گوگل داخلی

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی مدیاتک

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0562	A-30202425* M-ALPS02898189	بحرانی*	هیچ یک**	16 جولای 2016

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی HTC

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی HTC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0563	A-32089409*	بحرانی	Nexus 9	9 اکتبر 2016

افزایش آسیب پذیری امتیاز در زیرسیستم هسته ION

افزایش آسیب پذیری امتیاز در زیرسیستم هسته ION می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0564	A-34276203*	بحرانی	Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Pixel C، Android One، Nexus Player	12 ژانویه 2017

آسیب پذیری در اجزای کوالکام

این آسیب‌پذیری‌ها بر اجزای Qualcomm تأثیر می‌گذارند و در بولتن امنیتی Qualcomm AMSS اکتبر 2016 با جزئیات بیشتر توضیح داده شده‌اند.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-10237	A-31628601** QC-CR#1046751	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2016-10238	A-35358527** QC-CR#1042558	بحرانی	هیچ یک***	کوالکام داخلی
CVE-2016-10239	A-31624618** QC-CR#1032929	بالا	پیکسل، پیکسل XL	کوالکام داخلی

* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.

*** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب‌پذیری اجرای کد از راه دور در نسخه ۸

یک آسیب‌پذیری اجرای کد از راه دور در v8 می‌تواند مهاجمان راه دور را قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند. این موضوع به دلیل امکان اجرای کد از راه دور در وب سایت ها به عنوان High رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-5129	الف-29178923	بالا	هیچ یک*	6.0، 6.0.1، 7.0	20 جولای 2016

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری اجرای کد از راه دور در Freetype

یک آسیب‌پذیری اجرای کد از راه دور در Freetype می‌تواند یک برنامه مخرب محلی را قادر به بارگذاری یک فونت خاص ساخته شده برای ایجاد خرابی حافظه در یک فرآیند غیرمجاز کند. این موضوع به دلیل امکان اجرای کد از راه دور در برنامه ای که از این کتابخانه استفاده می کند، به عنوان High رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	نسخه های AOSP به روز شده	تاریخ گزارش شده
CVE-2016-10244	الف-31470908	بالا	هیچ یک*	4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0	13 سپتامبر 2016

افزایش آسیب پذیری امتیاز در زیرسیستم صدای کرنل

افزایش آسیب پذیری امتیاز در زیرسیستم صدای هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2014-4656	الف-34464977 هسته بالادست	بالا	Nexus 6، Nexus Player	26 ژوئن 2014

افزایش آسیب پذیری امتیاز در درایور کریپتو NVIDIA

افزایش آسیب پذیری امتیاز در درایور رمزنگاری NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0339	A-27930566* N-CVE-2017-0339	بالا	Nexus 9	29 مارس 2016
CVE-2017-0332	A-33812508* N-CVE-2017-0332	بالا	Nexus 9	21 دسامبر 2016
CVE-2017-0327	A-33893669* N-CVE-2017-0327	بالا	Nexus 9	24 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور حرارتی مدیاتک

افزایش آسیب پذیری امتیاز در درایور حرارتی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0565	A-28175904* M-ALPS02696516	بالا	هیچ یک**	11 آوریل 2016

افزایش آسیب پذیری امتیاز در درایور دوربین مدیاتک

افزایش آسیب پذیری امتیاز در درایور دوربین مدیاتک می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0566	A-28470975* M-ALPS02696367	بالا	هیچ یک**	29 آوریل 2016

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0567	A-32125310* B-RB#112575	بالا	Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player	12 اکتبر 2016
CVE-2017-0568	A-34197514* B-RB#112600	بالا	Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player	9 ژانویه 2017
CVE-2017-0569	A-34198729* B-RB#110666	بالا	Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player	9 ژانویه 2017
CVE-2017-0570	A-34199963* B-RB#110688	بالا	Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player	9 ژانویه 2017
CVE-2017-0571	A-34203305* B-RB#111541	بالا	Nexus 6، Nexus 6P، Pixel C، Nexus Player	9 ژانویه 2017
CVE-2017-0572	A-34198931* B-RB#112597	بالا	هیچ یک**	9 ژانویه 2017
CVE-2017-0573	A-34469904* B-RB#91539	بالا	Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player	18 ژانویه 2017
CVE-2017-0574	A-34624457* B-RB#113189	بالا	Nexus 6، Nexus 6P، Nexus 9، Pixel C	22 ژانویه 2017

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0575	A-32658595* QC-CR#1103099	بالا	Nexus 5X، Pixel، Pixel XL	3 نوامبر 2016

افزایش آسیب پذیری امتیاز در درایور NVIDIA I2C HID

افزایش آسیب پذیری امتیاز در درایور NVIDIA I2C HID می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0325	A-33040280* N-CVE-2017-0325	بالا	Nexus 9، Pixel C	20 نوامبر 2016

افزایش آسیب پذیری امتیاز در درایور صوتی کوالکام

افزایش آسیب پذیری امتیاز در درایور صوتی Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0454	A-33353700 QC-CR#1104067	بالا	Nexus 5X، Nexus 6P، Pixel، Pixel XL	5 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور موتور کریپتو کوالکام

افزایش آسیب پذیری امتیاز در درایور موتور کریپتو کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0576	الف-33544431 QC-CR#1103089	بالا	Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One	9 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی HTC

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی HTC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0577	A-33842951*	بالا	هیچ یک**	21 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور صدای DTS

افزایش آسیب پذیری امتیاز در درایور صدای DTS می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0578	A-33964406*	بالا	هیچ یک**	28 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور کدک صدا کوالکام

افزایش آسیب‌پذیری امتیاز در درایور کدک صدای Qualcomm می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-10231	الف-33966912 QC-CR#1096799	بالا	پیکسل، پیکسل XL	29 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام

افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0579	A-34125463* QC-CR#1115406	بالا	Nexus 5X، Nexus 6P، Pixel، Pixel XL	5 ژانویه 2017
CVE-2016-10232	الف-34386696 QC-CR#1024872 [2]	بالا	Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One	10 ژانویه 2017
CVE-2016-10233	الف-34389926 QC-CR#897452	بالا	هیچ یک**	10 ژانویه 2017

افزایش آسیب‌پذیری امتیاز در راه‌انداز پردازنده بوت NVIDIA و مدیریت انرژی

افزایش آسیب پذیری امتیاز در درایور پردازنده بوت NVIDIA و مدیریت انرژی می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب بوت و پردازنده مدیریت انرژی اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0329	A-34115304* N-CVE-2017-0329	بالا	پیکسل سی	5 ژانویه 2017

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0580	A-34325986*	بالا	هیچ یک**	16 ژانویه 2017
CVE-2017-0581	A-34614485*	بالا	هیچ یک**	22 ژانویه 2017

افزایش آسیب پذیری امتیاز در درایور Qualcomm Semp

افزایش آسیب پذیری امتیاز در درایور Qualcomm Seemp می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0462	الف-33353601 QC-CR#1102288	بالا	پیکسل، پیکسل XL	گوگل داخلی

افزایش آسیب پذیری امتیاز در درایور Qualcomm Kyro L2

افزایش آسیب پذیری امتیاز در درایور Qualcomm Kyro L2 می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-6423	الف-32831370 QC-CR#1103158	بالا	پیکسل، پیکسل XL	گوگل داخلی

افزایش آسیب پذیری امتیاز در سیستم فایل هسته

افزایش آسیب پذیری امتیاز در سیستم فایل هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2014-9922	الف-32761463 هسته بالادست	بالا	Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Android One، Nexus Player	24 اکتبر 2014

آسیب پذیری افشای اطلاعات در زیرسیستم حافظه هسته

یک آسیب‌پذیری افشای اطلاعات در زیرسیستم حافظه هسته می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2014-0206	الف-34465735 هسته بالادست	بالا	Nexus 6، Nexus Player	6 مه 2014

آسیب پذیری افشای اطلاعات در زیرسیستم شبکه هسته

یک آسیب پذیری افشای اطلاعات در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2014-3145	الف-34469585 هسته بالادست [2]	بالا	Nexus 6، Nexus Player	9 مه 2014

آسیب پذیری افشای اطلاعات در Qualcomm TrustZone

یک آسیب‌پذیری افشای اطلاعات در Qualcomm TrustZone می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-5349	الف-29083830 QC-CR#1021945 [2] [3] [4]	بالا	Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One	1 ژوئن 2016

آسیب پذیری افشای اطلاعات در درایور Qualcomm IPA

یک آسیب‌پذیری افشای اطلاعات در درایور Qualcomm IPA می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-10234	A-34390017 QC-CR#1069060 [2]	بالا	Nexus 5X، Nexus 6P، Pixel، Pixel XL	10 ژانویه 2017

آسیب پذیری انکار سرویس در زیرسیستم شبکه هسته

آسیب پذیری انکار سرویس در زیرسیستم شبکه هسته می تواند یک مهاجم راه دور را قادر سازد تا از یک بسته شبکه ساخته شده ویژه برای ایجاد قطع یا راه اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2014-2706	الف-34160553 هسته بالادست	بالا	Nexus Player	1 آوریل 2014

آسیب پذیری انکار سرویس در درایور وای فای کوالکام

آسیب‌پذیری انکار سرویس در درایور وای‌فای کوالکام می‌تواند مهاجم نزدیک را قادر به انکار سرویس در زیرسیستم Wi-Fi کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-10235	A-34390620 QC-CR#1046409	بالا	هیچ یک**	10 ژانویه 2017

افزایش آسیب پذیری امتیاز در سیستم فایل هسته

افزایش آسیب پذیری امتیاز در سیستم فایل هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را خارج از سطوح مجوز خود اجرا کند. این مشکل به‌عنوان متوسط رتبه‌بندی می‌شود زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و با پیکربندی‌های پلتفرم فعلی کاهش می‌یابد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-7097	الف-32458736 هسته بالادست	در حد متوسط	Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Nexus Player	28 اوت 2016

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و به دلیل جزئیات خاص آسیب‌پذیری که تأثیر موضوع را محدود می‌کند.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-6424	الف-32086742 QC-CR#1102648	در حد متوسط	Nexus 5X، Pixel، Pixel XL، Android One	9 اکتبر 2016

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به‌عنوان متوسط رتبه‌بندی می‌شود زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و با پیکربندی‌های پلتفرم فعلی کاهش می‌یابد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-8465	A-32474971* B-RB#106053	در حد متوسط	Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player	27 اکتبر 2016

افزایش آسیب پذیری امتیاز در دستور HTC OEM fastboot

افزایش آسیب پذیری امتیاز در دستور HTC OEM fastboot می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هاب حسگر اجرا کند. این موضوع به عنوان متوسط رتبه بندی شده است زیرا ابتدا نیاز به بهره برداری از آسیب پذیری های جداگانه دارد.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0582	A-33178836*	در حد متوسط	Nexus 9	28 نوامبر 2016

افزایش آسیب پذیری امتیاز در درایور دسترسی CP کوالکام

افزایش آسیب پذیری امتیاز در درایور دسترسی Qualcomm CP می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و به دلیل جزئیات خاص آسیب‌پذیری که تأثیر موضوع را محدود می‌کند.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0583	الف-32068683 QC-CR#1103788	در حد متوسط	Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One	گوگل داخلی

آسیب پذیری افشای اطلاعات در درایور رسانه هسته

یک آسیب‌پذیری افشای اطلاعات در درایور رسانه هسته می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2014-1739	الف-34460642 هسته بالادست	در حد متوسط	Nexus 6، Nexus 9، Nexus Player	15 ژوئن 2014

آسیب پذیری افشای اطلاعات در درایور وای فای کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور Wi-Fi کوالکام می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0584	A-32074353* QC-CR#1104731	در حد متوسط	Nexus 5X، Pixel، Pixel XL	9 اکتبر 2016

آسیب پذیری افشای اطلاعات در درایور Wi-Fi Broadcom

یک آسیب‌پذیری افشای اطلاعات در درایور Wi-Fi Broadcom می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0585	A-32475556* B-RB#112953	در حد متوسط	Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player	27 اکتبر 2016

آسیب پذیری افشای اطلاعات در درایور Qualcomm Avtimer

یک آسیب‌پذیری افشای اطلاعات در درایور Qualcomm Avtimer می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-5346	الف-32551280 QC-CR#1097878	در حد متوسط	پیکسل، پیکسل XL	29 اکتبر 2016

آسیب‌پذیری افشای اطلاعات در درایور ویدیوی کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور ویدیوی Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-6425	الف-32577085 QC-CR#1103689	در حد متوسط	پیکسل، پیکسل XL	29 اکتبر 2016

آسیب پذیری افشای اطلاعات در درایور USB Qualcomm

یک آسیب‌پذیری افشای اطلاعات در درایور USB Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2016-10236	الف-33280689 QC-CR#1102418	در حد متوسط	پیکسل، پیکسل XL	30 نوامبر 2016

آسیب پذیری افشای اطلاعات در درایور صدای کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور صدای Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0586	A-33649808 QC-CR#1097569	در حد متوسط	Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One	13 دسامبر 2016

آسیب پذیری افشای اطلاعات در درایور Qualcomm SPMI

یک آسیب‌پذیری افشای اطلاعات در درایور Qualcomm SPMI می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-6426	الف-33644474 QC-CR#1106842	در حد متوسط	پیکسل، پیکسل XL	14 دسامبر 2016

آسیب‌پذیری افشای اطلاعات در درایور رمزنگاری NVIDIA

یک آسیب‌پذیری افشای اطلاعات در درایور رمزنگاری NVIDIA می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2017-0328	A-33898322* N-CVE-2017-0328	در حد متوسط	هیچ یک**	24 دسامبر 2016
CVE-2017-0330	A-33899858* N-CVE-2017-0330	در حد متوسط	هیچ یک**	24 دسامبر 2016

آسیب پذیری در اجزای کوالکام

این آسیب‌پذیری‌ها بر اجزای کوالکام به عنوان بخشی از بولتن‌های امنیتی کوالکام AMSS بین سال‌های 2014 تا 2016 منتشر شدند. آنها در این بولتن امنیتی اندروید گنجانده شده‌اند تا رفع‌های خود را با سطح وصله امنیتی اندروید مرتبط کنند.

CVE	منابع	شدت	دستگاه های گوگل به روز شده	تاریخ گزارش شده
CVE-2014-9931	A-35445101**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2014-9932	A-35434683**	بحرانی	پیکسل، پیکسل XL	کوالکام داخلی
CVE-2014-9933	A-35442512**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2014-9934	A-35439275**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2014-9935	A-35444951**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2014-9936	A-35442420**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2014-9937	A-35445102**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2015-8995	A-35445002**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2015-8996	A-35444658**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2015-8997	A-35432947**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2015-8998	A-35441175**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2015-8999	A-35445401**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2015-9000	A-35441076**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2015-9001	A-35445400**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2015-9002	A-35442421**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2015-9003	A-35440626**	بحرانی	هیچ یک**	کوالکام داخلی
CVE-2016-10242	A-35434643**	بحرانی	هیچ یک**	کوالکام داخلی

* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.

** پچ مربوط به این مشکل در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

پرسش ها و پاسخ های متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی Pixel و Nexus را بخوانید.

سطوح وصله امنیتی 01/04/2017 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 01/04/2017 را برطرف می کند.
سطوح وصله امنیتی 2017-04-05 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 2017-04-05 و تمام سطوح وصله قبلی را برطرف می کند.

سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:

[ro.build.version.security_patch]:[01/04/2017]
[ro.build.version.security_patch]:[05/04/2017]

2. چرا این بولتن دارای دو سطح وصله امنیتی است؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.

دستگاه‌هایی که از سطح وصله امنیتی 01 آوریل 2017 استفاده می‌کنند باید شامل تمام مشکلات مرتبط با آن سطح وصله امنیتی، و همچنین رفع تمام مشکلات گزارش‌شده در بولتن‌های امنیتی قبلی باشند.
دستگاه‌هایی که از سطح وصله امنیتی 05 آوریل 2017 یا جدیدتر استفاده می‌کنند باید همه وصله‌های قابل‌اجرا در این بولتن‌های امنیتی (و قبلی) را شامل شوند.

شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.

3. چگونه می توانم تشخیص دهم که کدام دستگاه های Google تحت تأثیر هر مشکلی هستند؟

در بخش‌های جزئیات آسیب‌پذیری امنیتی 2017-04-01 و 2017-04-05 ، هر جدول دارای یک ستون دستگاه‌های Google به‌روزرسانی شده است که طیف وسیعی از دستگاه‌های تحت تأثیر Google را که برای هر مشکل به‌روزرسانی می‌شوند، پوشش می‌دهد. این ستون چند گزینه دارد:

همه دستگاه‌های Google : اگر مشکلی روی دستگاه‌های All و Pixel تأثیر بگذارد، جدول «همه» را در ستون دستگاه‌های به‌روزرسانی‌شده Google خواهد داشت. «همه» دستگاه‌های پشتیبانی‌شده زیر را در بر می‌گیرد: Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel C، Pixel، و Pixel XL.
برخی از دستگاه‌های Google : اگر مشکلی بر همه دستگاه‌های Google تأثیر نمی‌گذارد، دستگاه‌های Google آسیب‌دیده در ستون دستگاه‌های Google به‌روزرسانی شده فهرست می‌شوند.
هیچ دستگاه Google : اگر هیچ دستگاه Google دارای Android نسخه 7.0 تحت تأثیر این مشکل قرار نگیرد، جدول «هیچکدام» در ستون دستگاه‌های به‌روزرسانی شده Google خواهد داشت.

4. ورودی های ستون مراجع به چه چیزی نگاشته می شوند؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. این پیشوندها به صورت زیر ترسیم می شوند:

پیشوند	ارجاع
آ-	شناسه باگ اندروید
QC-	شماره مرجع کوالکام
M-	شماره مرجع مدیاتک
N-	شماره مرجع NVIDIA
ب-	شماره مرجع Broadcom

تجدید نظرها

03 آوریل 2017: بولتن منتشر شد.
5 آوریل 2017: بولتن برای شامل پیوندهای AOSP اصلاح شد.
21 آوریل 2017: انتساب برای CVE-2016-10231 و CVE-2017-0586 اصلاح شد.
27 آوریل 2017: CVE-2017-0540 از بولتن حذف شد.
17 اوت 2017: بولتن برای به‌روزرسانی شماره‌های مرجع اصلاح شد.