منتشر شده در 10 اردیبهشت 1396 | به روز شده در 03 اکتبر 2017
بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک بهروزرسانی امنیتی برای دستگاههای Nexus از طریق بهروزرسانی خارج از هوا (OTA) منتشر کردهایم. تصاویر سفتافزار دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 می 2017 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه بهروزرسانی Pixel و Nexus مراجعه کنید.
در تاریخ 03 آوریل 2017 یا قبل از آن، شرکا از مسائل شرح داده شده در بولتن مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.
شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از آسیبپذیری احتمالاً روی دستگاه آسیبدیده میگذارد، با این فرض که پلتفرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.
ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت های پلتفرم امنیتی اندروید و محافظت های خدماتی مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.
ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.
اطلاعیه ها
- این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطافپذیری برای رفع سریعتر زیرمجموعهای از آسیبپذیریها را که در همه دستگاههای Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسشها و پاسخهای رایج مراجعه کنید:
- 01/05/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان میدهد که تمام مسائل مرتبط با 01/05/2017 (و تمام رشتههای سطح وصله امنیتی قبلی) برطرف شدهاند.
- 05/05/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان میدهد که تمام مسائل مرتبط با 2017-05-01 و 2017-05-05 (و تمام رشتههای سطح وصله امنیتی قبلی) برطرف شدهاند.
- دستگاههای پشتیبانیشده Google یک بهروزرسانی OTA با سطح وصله امنیتی 5 می 2017 دریافت خواهند کرد.
کاهش خدمات اندروید و گوگل
این خلاصهای از کاهشهای ارائهشده توسط پلتفرم امنیتی Android و محافظتهای خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.
- بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
- تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامههای بالقوه مضر طراحی شدهاند، بهطور فعال نظارت بر سوء استفاده میکند. تأیید برنامهها بهطور پیشفرض در دستگاههای دارای سرویسهای تلفن همراه Google فعال است و به ویژه برای کاربرانی که برنامههایی را از خارج از Google Play نصب میکنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش میکند تا نصب برنامههای مخرب شناختهشدهای را که از آسیبپذیری افزایش امتیاز سوءاستفاده میکنند، شناسایی و مسدود کند. اگر چنین برنامهای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع میدهد و تلاش میکند تا برنامه شناسایی شده را حذف کند.
- در صورت لزوم، برنامههای Google Hangouts و Messenger رسانهها را بهطور خودکار به فرآیندهایی مانند Mediaserver منتقل نمیکنند.
سپاسگزاریها
مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:
- ADlab of Venustech: CVE-2017-0630
- دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-10287
- Ecular Xu (徐健) از Trend Micro: CVE-2017-0599، CVE-2017-0635
- En He ( @heeeeen4x ) و بو لیو از MS509Team : CVE-2017-0601
- ایتان یونکر از پروژه بازیابی پیروزی تیم : CVE-2017-0493
- Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd: CVE-2016-10285، CVE-2016-10288، CVE-2016-10290، CVE-2017-06126، CVE-2017-06126، CVE-06124، CVE-2016-10285 -2017-0617، CVE-2016-10294، CVE-2016-10295، CVE-2016-10296
- godzheng (郑文选@VirtualSeekers ) از Tencent PC Manager: CVE-2017-0602
- Güliz Seray Tuncay از دانشگاه ایلینوی در Urbana-Champaign : CVE-2017-0593
- هائو چن و گوانگ گونگ از تیم آلفا، Qihoo 360 Technology Co. Ltd: CVE-2016-10283
- جوهو نی، یانگ چنگ، نان لی و کیوو هوانگ از شرکت شیائومی: CVE-2016-10276
- Michał Bednarski : CVE-2017-0598
- ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا: CVE-2017-0331، CVE-2017-0606
- Niky1235 ( @jiych_guru ): CVE-2017-0603
- آهنگ پنگ شیائو، چنگ مینگ یانگ، نینگ یو، چائو یانگ و یانگ گروه امنیت موبایل علی بابا: CVE-2016-10281، CVE-2016-10280
- Roee Hay ( @roeehay ) از Aleph Research : CVE-2016-10277
- اسکات بائر ( @ScottyBauer1 ): CVE-2016-10274
- Tong Lin ، Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2016-10291
- واسیلی واسیلیف: CVE-2017-0589
- VEO ( @VYSEa ) تیم پاسخگویی به تهدیدات موبایل ، Trend Micro : CVE-2017-0590، CVE-2017-0587، CVE-2017-0600
- Xiling Gong از بخش پلت فرم امنیتی Tencent: CVE-2017-0597
- Xingyuan Lin of 360 Marvel Team: CVE-2017-0627
- یونگ وانگ (王勇) ( @ThomasKing2014 ) از Alibaba Inc: CVE-2017-0588
- Yonggang Guo ( @guoygang ) از IceSword Lab، Qihoo 360 Technology Co. Ltd: CVE-2016-10289، CVE-2017-0465
- یو پان تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
- Yu Pan و Peide Zhang از تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625
01/05/2017 سطح وصله امنیتی-جزئیات آسیب پذیری
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله 01-05-2017 اعمال میشود، ارائه میکنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاههای بهروزرسانیشده Google، نسخههای بهروزرسانیشده AOSP (در صورت لزوم) و تاریخ گزارششده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
آسیب پذیری اجرای کد از راه دور در Mediaserver
یک آسیبپذیری اجرای کد از راه دور در Mediaserver میتواند مهاجم را با استفاده از یک فایل خاص ساخته شده قادر سازد تا حافظه را در طول فایل رسانه و پردازش دادهها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0587 | الف-35219737 | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 4 ژانویه 2017 |
| CVE-2017-0588 | الف-34618607 | بحرانی | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 21 ژانویه 2017 |
| CVE-2017-0589 | الف-34897036 | بحرانی | همه | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 1 فوریه 2017 |
| CVE-2017-0590 | A-35039946 | بحرانی | همه | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 6 فوریه 2017 |
| CVE-2017-0591 | الف-34097672 | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | گوگل داخلی |
| CVE-2017-0592 | الف-34970788 | بحرانی | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | گوگل داخلی |
افزایش آسیب پذیری امتیاز در Framework API
افزایش آسیب پذیری امتیاز در Framework API می تواند یک برنامه مخرب محلی را قادر سازد تا به مجوزهای سفارشی دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا یک دور زدن کلی برای محافظت از سیستم عامل است که داده های برنامه را از سایر برنامه ها جدا می کند.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0593 | الف-34114230 | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 5 ژانویه 2017 |
افزایش آسیب پذیری امتیاز در مدیا سرور
افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0594 | الف-34617444 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 22 ژانویه 2017 |
| CVE-2017-0595 | الف-34705519 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 24 ژانویه 2017 |
| CVE-2017-0596 | الف-34749392 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 24 ژانویه 2017 |
افزایش آسیب پذیری امتیاز در Audioserver
افزایش آسیب پذیری امتیاز در Audioserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0597 | الف-34749571 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 25 ژانویه 2017 |
آسیب پذیری افشای اطلاعات در Framework API
یک آسیبپذیری افشای اطلاعات در Framework API میتواند یک برنامه مخرب محلی را قادر به دور زدن حفاظتهای سیستم عاملی کند که دادههای برنامه را از سایر برنامهها جدا میکند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده هایی استفاده کرد که برنامه به آنها دسترسی ندارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [ 2 ] | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 6 ژانویه 2017 |
آسیب پذیری انکار سرویس در Mediaserver
آسیبپذیری انکار سرویس از راه دور در Mediaserver میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده خاص برای هنگ کردن یا راهاندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار سرویس از راه دور، با شدت بالا رتبه بندی می شود.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0599 | الف-34672748 | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 23 ژانویه 2017 |
| CVE-2017-0600 | الف-35269635 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 10 فوریه 2017 |
افزایش آسیب پذیری امتیاز در بلوتوث
آسیبپذیری Elevation of Privilege در بلوتوث میتواند به طور بالقوه یک برنامه مخرب محلی را قادر سازد تا فایلهای مضر اشتراکگذاری شده از طریق بلوتوث را بدون اجازه کاربر بپذیرد. به دلیل دور زدن محلی الزامات تعامل کاربر، این مشکل به عنوان متوسط رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0601 | الف-35258579 | در حد متوسط | همه | 7.0، 7.1.1، 7.1.2 | 9 فوریه 2017 |
آسیبپذیری افشای اطلاعات در رمزگذاری مبتنی بر فایل
یک آسیبپذیری افشای اطلاعات در رمزگذاری مبتنی بر فایل میتواند یک مهاجم مخرب محلی را قادر به دور زدن حفاظتهای سیستم عامل برای صفحه قفل کند. این موضوع به دلیل امکان دور زدن صفحه قفل به عنوان متوسط رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [ 2 ] [ 3 ] | در حد متوسط | همه | 7.0، 7.1.1 | 9 نوامبر 2016 |
آسیب پذیری افشای اطلاعات در بلوتوث
یک آسیبپذیری افشای اطلاعات در بلوتوث میتواند به یک برنامه مخرب محلی اجازه دهد تا از حفاظتهای سیستم عاملی که دادههای برنامه را از سایر برنامهها جدا میکند دور بزند. این موضوع به دلیل جزئیات خاص آسیبپذیری، به عنوان متوسط رتبهبندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0602 | الف-34946955 | در حد متوسط | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 5 دسامبر 2016 |
آسیب پذیری افشای اطلاعات در OpenSSL و BoringSSL
یک آسیبپذیری افشای اطلاعات در OpenSSL و BoringSSL میتواند مهاجم راه دور را قادر به دسترسی به اطلاعات حساس کند. این موضوع به دلیل جزئیات خاص آسیبپذیری، به عنوان متوسط رتبهبندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2016-7056 | الف-33752052 | در حد متوسط | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 19 دسامبر 2016 |
آسیب پذیری انکار سرویس در Mediaserver
آسیبپذیری انکار سرویس در Mediaserver میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده خاص برای هنگ کردن یا راهاندازی مجدد دستگاه استفاده کند. این مشکل به عنوان متوسط رتبه بندی شده است زیرا به پیکربندی دستگاه غیر معمول نیاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0603 | الف-35763994 | در حد متوسط | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 23 فوریه 2017 |
آسیب پذیری انکار سرویس در Mediaserver
آسیبپذیری انکار سرویس از راه دور در Mediaserver میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده خاص برای هنگ کردن یا راهاندازی مجدد دستگاه استفاده کند. به دلیل جزئیات خاص آسیب پذیری، این مشکل به عنوان Low رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0635 | الف-35467107 | کم | همه | 7.0، 7.1.1، 7.1.2 | 16 فوریه 2017 |
سطح وصله امنیتی 05/05/2017-جزئیات آسیب پذیری
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله ۰۵-۰۵-۲۰۱۷ اعمال میشوند، ارائه میکنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاههای بهروزرسانیشده Google، نسخههای بهروزرسانیشده AOSP (در صورت لزوم) و تاریخ گزارششده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
آسیب پذیری اجرای کد از راه دور در GIFLIB
یک آسیبپذیری اجرای کد از راه دور در GIFLIB میتواند مهاجم را با استفاده از یک فایل ساختهشده خاص قادر سازد تا حافظه را در طول فایل رسانه و پردازش دادهها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2015-7555 | الف-34697653 | بحرانی | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 13 آوریل 2016 |
افزایش آسیب پذیری امتیاز در درایور صفحه لمسی مدیاتک
افزایش آسیب پذیری امتیاز در درایور صفحه لمسی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 | بحرانی | هیچ یک** | 16 جولای 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در بوت لودر کوالکام
افزایش آسیب پذیری امتیاز در بوت لودر کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10275 | الف-34514954 QC-CR#1009111 | بحرانی | Nexus 5X، Nexus 6، Pixel، Pixel XL، Android One | 13 سپتامبر 2016 |
| CVE-2016-10276 | الف-32952839 QC-CR#1094105 | بحرانی | Nexus 5X، Nexus 6P، Pixel، Pixel XL | 16 نوامبر 2016 |
افزایش آسیب پذیری امتیاز در زیرسیستم صدای کرنل
افزایش آسیب پذیری امتیاز در زیرسیستم صدای هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-9794 | الف-34068036 هسته بالادست | بحرانی | Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Android One، Nexus Player | 3 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در بوت لودر موتورولا
افزایش آسیب پذیری امتیاز در بوت لودر موتورولا می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن بوت لودر اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* | بحرانی | Nexus 6 | 21 دسامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA
افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 | بحرانی | Nexus 9 | 4 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور برق کوالکام
افزایش آسیب پذیری امتیاز در درایور قدرت هسته Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 | بحرانی | هیچ یک* | 15 فوریه 2017 |
* دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
آسیب پذیری در اجزای کوالکام
این آسیبپذیریها بر اجزای Qualcomm تأثیر میگذارند و در بولتنهای امنیتی Qualcomm AMSS در آگوست، سپتامبر، اکتبر و دسامبر 2016 با جزئیات بیشتر توضیح داده شدهاند.
| CVE | منابع | شدت* | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 | بحرانی | Nexus 6P | کوالکام داخلی |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 | بحرانی | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL | کوالکام داخلی |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 | بالا | پیکسل، پیکسل XL | کوالکام داخلی |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 | بالا | پیکسل، پیکسل XL | کوالکام داخلی |
* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیب پذیری اجرای کد از راه دور در libxml2
یک آسیبپذیری اجرای کد از راه دور در libxml2 میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده ویژه برای اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز استفاده کند. این موضوع به دلیل امکان اجرای کد از راه دور در برنامه ای که از این کتابخانه استفاده می کند، به عنوان High رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | بالا | هیچ یک** | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 23 جولای 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور حرارتی مدیاتک
افزایش آسیب پذیری امتیاز در درایور حرارتی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 | بالا | هیچ یک** | 11 آوریل 2016 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 | بالا | هیچ یک** | 11 آوریل 2016 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 | بالا | هیچ یک** | 27 دسامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام
افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10283 | الف-32094986 QC-CR#2002052 | بالا | Nexus 5X، Pixel، Pixel XL، Android One | 11 اکتبر 2016 |
افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام
افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 24 اکتبر 2016 |
| CVE-2016-10285 | الف-33752702 QC-CR#1104899 | بالا | پیکسل، پیکسل XL | 19 دسامبر 2016 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 | بالا | پیکسل، پیکسل XL | 15 فوریه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در زیر سیستم عملکرد هسته
افزایش آسیب پذیری امتیاز در زیرسیستم عملکرد هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2015-9004 | الف-34515362 هسته بالادست | بالا | Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Android One، Nexus Player | 23 نوامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور صدای کوالکام
افزایش آسیب پذیری امتیاز در درایور صدای Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10287 | الف-33784446 QC-CR#1112751 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One | 20 دسامبر 2016 |
| CVE-2017-0606 | الف-34088848 QC-CR#1116015 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One | 3 ژانویه 2017 |
| CVE-2016-5860 | الف-34623424 QC-CR#1100682 | بالا | پیکسل، پیکسل XL | 22 ژانویه 2017 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 | بالا | هیچ یک* | 15 فوریه 2017 |
| CVE-2017-0607 | الف-35400551 QC-CR#1085928 | بالا | پیکسل، پیکسل XL | 15 فوریه 2017 |
| CVE-2017-0608 | الف-35400458 QC-CR#1098363 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2016-5859 | الف-35399758 QC-CR#1096672 | بالا | هیچ یک* | 15 فوریه 2017 |
| CVE-2017-0610 | الف-35399404 QC-CR#1094852 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2017-0611 | الف-35393841 QC-CR#1084210 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2016-5853 | الف-35392629 QC-CR#1102987 | بالا | هیچ یک* | 15 فوریه 2017 |
* دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور LED Qualcomm
افزایش آسیب پذیری امتیاز در درایور LED Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10288 | الف-33863909 QC-CR#1109763 | بالا | پیکسل، پیکسل XL | 23 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور رمزارز کوالکام
افزایش آسیب پذیری امتیاز در درایور رمزارز کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 24 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور حافظه مشترک کوالکام
افزایش آسیب پذیری امتیاز در درایور حافظه مشترک کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10290 | الف-33898330 QC-CR#1109782 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL | 24 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور Qualcomm Slimbus
افزایش آسیب پذیری امتیاز در درایور Qualcomm Slimbus می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10291 | الف-34030871 QC-CR#986837 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Android One | 31 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC
افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0465 | الف-34112914 QC-CR#1110747 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One | 5 ژانویه 2017 |
افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Execution Environment Communicator
افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Execution Environment Communicator می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0612 | الف-34389303 QC-CR#1061845 | بالا | پیکسل، پیکسل XL | 10 ژانویه 2017 |
| CVE-2017-0613 | الف-35400457 QC-CR#1086140 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2017-0614 | الف-35399405 QC-CR#1080290 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور قدرت MediaTek
افزایش آسیب پذیری امتیاز در درایور قدرت MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 | بالا | هیچ یک** | 12 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور وقفه مدیریت سیستم مدیاتک
افزایش آسیب پذیری امتیاز در درایور وقفه مدیریت سیستم MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 | بالا | هیچ یک** | 19 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور ویدیوی مدیاتک
افزایش آسیب پذیری امتیاز در درایور ویدیوی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 | بالا | هیچ یک** | 19 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور صف فرمان مدیاتک
افزایش آسیب پذیری امتیاز در درایور صف فرمان MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 | بالا | هیچ یک** | 7 فوریه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور کنترلر پین کوالکام
افزایش آسیب پذیری امتیاز در درایور کنترل کننده پین کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0619 | الف-35401152 QC-CR#826566 | بالا | Nexus 6، Android One | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور مدیریت کانال امن کوالکام
افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Channel Manager می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0620 | الف-35401052 QC-CR#1081711 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور کدک صدا کوالکام
افزایش آسیبپذیری امتیاز در درایور کدک صدای Qualcomm میتواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 | بالا | پیکسل، پیکسل XL | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور تنظیم کننده ولتاژ هسته
افزایش آسیب پذیری امتیاز در درایور تنظیم کننده ولتاژ هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2014-9940 | الف-35399757 هسته بالادست | بالا | Nexus 6، Nexus 9، Pixel C، Android One، Nexus Player | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام
افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 | بالا | اندروید وان | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور شبکه کوالکام
افزایش آسیب پذیری امتیاز در درایور شبکه کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5868 | الف-35392791 QC-CR#1104431 | بالا | Nexus 5X، Pixel، Pixel XL | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته
افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-7184 | الف-36565222 هسته بالادست [2] | بالا | Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Android One | 23 مارس 2017 |
افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Goodix
افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Goodix می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0622 | الف-32749036 QC-CR#1098602 | بالا | اندروید وان | گوگل داخلی |
افزایش آسیب پذیری امتیاز در بوت لودر HTC
افزایش آسیب پذیری امتیاز در بوت لودر HTC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه بوت لودر اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* | بالا | پیکسل، پیکسل XL | گوگل داخلی |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیب پذیری افشای اطلاعات در درایور وای فای کوالکام
یک آسیبپذیری افشای اطلاعات در درایور Wi-Fi کوالکام میتواند یک برنامه مخرب محلی را قادر سازد به دادههای خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 | بالا | Nexus 5X، Pixel، Pixel XL | 16 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیب پذیری افشای اطلاعات در درایور صف فرمان مدیاتک
یک آسیبپذیری افشای اطلاعات در درایور صف فرمان MediaTek میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 | بالا | هیچ یک** | 8 فوریه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
آسیب پذیری افشای اطلاعات در درایور موتور کریپتو کوالکام
یک آسیبپذیری افشای اطلاعات در درایور موتور کریپتو کوالکام میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0626 | الف-35393124 QC-CR#1088050 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
آسیب پذیری انکار سرویس در درایور وای فای کوالکام
آسیبپذیری انکار سرویس در درایور وایفای کوالکام میتواند مهاجم نزدیک را قادر به انکار سرویس در زیرسیستم Wi-Fi کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 | بالا | Nexus 5X، Pixel، Pixel XL | 16 دسامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیب پذیری افشای اطلاعات در درایور UVC هسته
یک آسیبپذیری افشای اطلاعات در درایور هسته UVC میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* | در حد متوسط | Nexus 5X، Nexus 6P، Nexus 9، Pixel C، Nexus Player | 2 دسامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیبپذیری افشای اطلاعات در درایور ویدیوی کوالکام
یک آسیبپذیری افشای اطلاعات در درایور ویدیوی Qualcomm میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10293 | الف-33352393 QC-CR#1101943 | در حد متوسط | Nexus 5X، Nexus 6P، Android One | 4 دسامبر 2016 |
آسیب پذیری افشای اطلاعات در درایور پاور کوالکام (ویژه دستگاه)
یک آسیبپذیری افشای اطلاعات در درایور برق کوالکام میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10294 | الف-33621829 QC-CR#1105481 | در حد متوسط | Nexus 5X، Nexus 6P، Pixel، Pixel XL | 14 دسامبر 2016 |
آسیب پذیری افشای اطلاعات در درایور LED Qualcomm
یک آسیبپذیری افشای اطلاعات در درایور LED Qualcomm میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10295 | الف-33781694 QC-CR#1109326 | در حد متوسط | پیکسل، پیکسل XL | 20 دسامبر 2016 |
آسیبپذیری افشای اطلاعات در درایور حافظه مشترک کوالکام
یک آسیبپذیری افشای اطلاعات در درایور حافظه مشترک کوالکام میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10296 | الف-33845464 QC-CR#1109782 | در حد متوسط | Nexus 5x ، Nexus 6P ، Pixel ، Pixel XL ، Android One | 22 دسامبر 2016 |
آسیب پذیری افشای اطلاعات در راننده دوربین Qualcomm
آسیب پذیری افشای اطلاعات در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 | در حد متوسط | Nexus 5x ، Nexus 6 ، Pixel ، Pixel XL | 10 ژانویه 2017 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 | در حد متوسط | Nexus 5x ، Nexus 6 ، Pixel ، Pixel XL | 8 فوریه 2017 |
آسیب پذیری افشای اطلاعات در زیر سیستم ردیابی هسته
آسیب پذیری افشای اطلاعات در زیر سیستم ردیابی هسته می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز آن کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* | در حد متوسط | Nexus 5x ، Nexus 6 ، Nexus 6P ، Nexus 9 ، Pixel ، Pixel XL ، Pixel C ، Android One ، Nexus Player | 11 ژانویه 2017 |
* وصله این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm
آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] | در حد متوسط | Nexus 5x ، Nexus 6 ، Nexus 6P ، Pixel ، Pixel XL ، Android One | 15 فوریه 2017 |
آسیب پذیری افشای اطلاعات در راننده دوربین Qualcomm
آسیب پذیری افشای اطلاعات در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 | در حد متوسط | Nexus 5x ، Nexus 6P ، Pixel ، Pixel XL ، Android One | 15 فوریه 2017 |
آسیب پذیری افشای اطلاعات در راننده صدا Qualcomm
آسیب پذیری افشای اطلاعات در درایور صدا Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 | در حد متوسط | Nexus 5x ، Nexus 6 ، Nexus 6P ، Pixel ، Pixel XL ، Android One | 15 فوریه 2017 |
آسیب پذیری افشای اطلاعات در راننده Qualcomm SPCOM
آسیب پذیری افشای اطلاعات در درایور Qualcomm SPCOM می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 | در حد متوسط | هیچ یک* | 15 فوریه 2017 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 | در حد متوسط | هیچ یک* | 15 فوریه 2017 |
* از دستگاه های Google پشتیبانی شده در Android 7.1.1 یا بعد از آن که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.
آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm
آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 | در حد متوسط | اندروید وان | 15 فوریه 2017 |
آسیب پذیری افشای اطلاعات در راننده Wi-Fi Broadcom
آسیب پذیری افشای اطلاعات در درایور Wi-Fi Broadcom می تواند یک مؤلفه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 | در حد متوسط | Nexus 6 ، Nexus 6P ، Nexus 9 ، Pixel C ، Nexus Player | 23 فوریه 2017 |
* وصله این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیب پذیری افشای اطلاعات در درایور صفحه لمسی Synaptics
آسیب پذیری افشای اطلاعات در درایور لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* | در حد متوسط | پیکسل، پیکسل XL | گوگل داخلی |
* وصله این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیب پذیری در اجزای Qualcomm
این آسیب پذیری های مؤثر بر اجزای Qualcomm به عنوان بخشی از بولتن های امنیتی Qualcomm AMSS بین سالهای 2014 تا 2016 منتشر شد. آنها در این بولتن امنیتی Android گنجانده شده اند تا اصلاحات خود را با سطح پچ امنیتی اندرویدی مرتبط کنند.
| CVE | منابع | شدت* | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9924 | A-35434631 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9925 | A-35444657 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9926 | A-35433784 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9927 | A-35433785 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9928 | A-35438623 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9929 | A-35443954 ** QC-CR#644783 | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9930 | A-35432946 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2015-9005 | A-36393500 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2015-9006 | A-36393450 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2015-9007 | A-36393700 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2016-10297 | A-36393451 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9941 | A-36385125 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9942 | A-36385319 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9943 | A-36385219 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9944 | A-36384534 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9945 | A-36386912 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9946 | A-36385281 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9947 | A-36392400 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9948 | A-36385126 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9949 | A-36390608 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9950 | A-36385321 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9951 | A-36389161 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9952 | A-36387019 ** | بالا | هیچ یک*** | کوالکام داخلی |
* امتیاز شدت این آسیب پذیری ها توسط فروشنده تعیین شد.
** وصله این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
*** از دستگاه های Google پشتیبانی شده در Android 7.1.1 یا بعد از آن که همه به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.
پرسش ها و پاسخ های متداول
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه ، دستورالعمل های مربوط به برنامه به روزرسانی Pixel و Nexus را بخوانید.
- سطح امنیت پچ امنیت 2017-05-01 یا بعداً به کلیه موضوعات مرتبط با سطح پچ امنیتی 2017-05-01 پرداخته است.
- سطح امنیت پچ امنیت 2017-05-05 یا بعداً به کلیه موضوعات مرتبط با سطح پچ امنیتی 2017-05-05 و تمام سطح پچ قبلی پرداخته می شود.
سازندگان دستگاههایی که شامل این بهروزرسانیها میشوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:
- [ro.build.version.securance_patch]: [2017-05-01]
- [ro.build.version.securance_patch]: [2017-05-05]
2. چرا این بولتن دارای دو سطح وصله امنیتی است؟
این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.
- دستگاه هایی که از سطح پچ امنیتی 01 مه 2017 استفاده می کنند ، باید شامل کلیه موارد مرتبط با آن سطح پچ امنیتی و همچنین رفع کلیه موارد گزارش شده در بولتن های امنیتی قبلی باشند.
- دستگاه هایی که از سطح امنیتی پچ امنیت 05 مه 2017 یا جدیدتر استفاده می کنند ، باید کلیه تکه های قابل اجرا را در این بولتن های امنیتی (و قبلی) شامل شوند.
شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.
3. چگونه می توانم تعیین کنم که دستگاه های Google تحت تأثیر هر شماره قرار می گیرند؟
در بخش های جزئیات آسیب پذیری امنیتی 2017-05-01 و 2017-05-05 ، هر جدول دارای یک ستون دستگاه های Google به روز شده است که دامنه دستگاههای گوگل تحت تأثیر را برای هر شماره به روز می کند. این ستون چند گزینه دارد:
- همه دستگاه های Google : اگر یک مسئله بر همه دستگاه های پیکسل تأثیر بگذارد ، جدول در ستون به روز شده Google Devices "All" خواهد داشت. "All" دستگاه های پشتیبانی شده زیر را محصور می کند: Nexus 5X ، Nexus 6 ، Nexus 6P ، Nexus 9 ، Android One ، Nexus Player ، Pixel C ، Pixel و Pixel XL.
- برخی از دستگاه های Google : اگر یک مسئله بر همه دستگاه های Google تأثیر نگذارد ، دستگاه های تحت تأثیر Google در ستون به روز شده Google Devices ذکر شده اند.
- هیچ دستگاه Google : اگر دستگاه های Google که Android 7.0 را اجرا نمی کند ، تحت تأثیر این مسئله قرار نمی گیرند ، جدول در ستون دستگاه های Google به روز شده "هیچ" نخواهد داشت.
4- ورودی های موجود در ستون منابع به چه چیزی می پردازند؟
ورودیهای زیر ستون مراجع جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند. این پیشوندها به شرح زیر است:
| پیشوند | ارجاع |
|---|---|
| آ- | شناسه باگ اندروید |
| QC- | شماره مرجع کوالکام |
| M- | شماره مرجع مدیاتک |
| n- | شماره مرجع NVIDIA |
| ب- | شماره مرجع Broadcom |
تجدید نظرها
- 01 مه 2017: بولتن منتشر شد.
- 02 مه 2017: بولتن اصلاح شده برای پیوندهای AOSP.
- 10 آگوست 2017: بولتن اصلاح شده برای پیوند اضافی AOSP برای CVE-2017-0493.
- 17 آگوست 2017: بولتن برای به روزرسانی شماره های مرجع اصلاح شد.
- 03 اکتبر 2017: بولتن اصلاح شده برای حذف CVE-2017-0605.