نشرة أمان Android — مايو 2017

تم النشر في 01 مايو 2017 | تم التحديث في 03 أكتوبر 2017

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 مايو 2017 أو الإصدارات الأحدث جميع هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 03 أبريل 2017 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات في مستودع Android Open Source Project (AOSP) وتم ربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/05/2017 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أن كافة المشكلات المرتبطة بـ 01-05-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة) قد تمت معالجتها.
    • 05/05/2017 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بـ 01-05-2017 و05-05-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
  • ستتلقى أجهزة Google المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني ​​بتاريخ 05 مايو 2017.

عمليات التخفيف من خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

01-05-2017 تفاصيل مستوى التصحيح الأمني

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-05-2017. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0587 أ-35219737 شديد الأهمية الجميع 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 4 يناير 2017
CVE-2017-0588 أ-34618607 شديد الأهمية الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 21 يناير 2017
CVE-2017-0589 أ-34897036 شديد الأهمية الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 1 فبراير 2017
CVE-2017-0590 أ-35039946 شديد الأهمية الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 6 فبراير 2017
CVE-2017-0591 أ-34097672 شديد الأهمية الجميع 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 جوجل الداخلية
CVE-2017-0592 أ-34970788 شديد الأهمية الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 جوجل الداخلية

رفع مستوى الضعف في الامتيازات في Framework APIs

قد تؤدي زيادة ثغرة الامتيازات في واجهات برمجة تطبيقات Framework إلى تمكين تطبيق ضار محلي من الحصول على حق الوصول إلى الأذونات المخصصة. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا عامًا لعمليات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0593 أ-34114230 عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 5 يناير 2017

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0594 أ-34617444 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 22 يناير 2017
CVE-2017-0595 أ-34705519 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 24 يناير 2017
CVE-2017-0596 أ-34749392 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 24 يناير 2017

رفع ثغرة الامتياز في Audioserver

قد تؤدي زيادة ثغرة الامتيازات في Audioserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0597 أ-34749571 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 25 يناير 2017

ثغرة أمنية في الكشف عن المعلومات في Framework APIs

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في Framework APIs إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0598 ا-34128677 [ 2 ] عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 6 يناير 2017

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي الثغرة الأمنية لرفض الخدمة عن بعد في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لاحتمال رفض الخدمة عن بُعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0599 أ-34672748 عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 23 يناير 2017
CVE-2017-0600 أ-35269635 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 10 فبراير 2017

رفع ثغرة الامتياز في البلوتوث

من المحتمل أن تؤدي ثغرة رفع الامتيازات في تقنية Bluetooth إلى تمكين تطبيق ضار محلي من قبول الملفات الضارة التي تتم مشاركتها عبر تقنية Bluetooth دون إذن المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة بسبب التجاوز المحلي لمتطلبات تفاعل المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0601 أ-35258579 معتدل الجميع 7.0، 7.1.1، 7.1.2 9 فبراير 2017

ثغرة أمنية في الكشف عن المعلومات في التشفير المستند إلى الملفات

يمكن أن تؤدي ثغرة الكشف عن المعلومات في التشفير المستند إلى الملفات إلى تمكين مهاجم ضار محلي من تجاوز إجراءات حماية نظام التشغيل لشاشة القفل. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لإمكانية تجاوز شاشة القفل.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0493 ا-32793550 [ 2 ] [ 3 ] معتدل الجميع 7.0، 7.1.1 9 نوفمبر 2016

ثغرة الكشف عن المعلومات في البلوتوث

قد تسمح ثغرة أمنية في الكشف عن المعلومات في تقنية Bluetooth لتطبيق ضار محلي بتجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها متوسطة بسبب التفاصيل الخاصة بالثغرة الأمنية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0602 أ-34946955 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 5 ديسمبر 2016

ثغرة الكشف عن المعلومات في OpenSSL وBoringSSL

يمكن أن تؤدي ثغرة الكشف عن المعلومات في OpenSSL وBoringSSL إلى تمكين المهاجم عن بعد من الوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة بسبب التفاصيل الخاصة بالثغرة الأمنية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-7056 أ-33752052 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 19 ديسمبر 2016

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب تكوينًا غير شائع للجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0603 أ-35763994 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 23 فبراير 2017

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي الثغرة الأمنية لرفض الخدمة عن بعد في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها منخفضة بسبب التفاصيل الخاصة بالثغرة الأمنية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0635 أ-35467107 قليل الجميع 7.0، 7.1.1، 7.1.2 16 فبراير 2017

05-05-2017 تفاصيل مستوى التصحيح الأمني

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 05-05-2017. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في GIFLIB

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في GIFLIB إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2015-7555 أ-34697653 شديد الأهمية الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 13 أبريل 2016

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس MediaTek

يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10274 أ-30202412*
م-ALPS02897901
شديد الأهمية لا أحد** 16 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في أداة تحميل التشغيل Qualcomm

قد تؤدي زيادة ثغرة الامتيازات في أداة تحميل التشغيل Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10275 أ-34514954
مراقبة الجودة-CR#1009111
شديد الأهمية نيكزس 5X، نيكزس 6، بيكسل، بيكسل XL، أندرويد وان 13 سبتمبر 2016
CVE-2016-10276 أ-32952839
مراقبة الجودة-CR#1094105
شديد الأهمية نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 16 نوفمبر 2016

رفع ثغرة الامتياز في النظام الفرعي للصوت kernel

قد تؤدي زيادة ثغرة الامتياز في النظام الفرعي للصوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-9794 أ-34068036
نواة المنبع
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، بكسل، بكسل XL، بكسل C، أندرويد وان، نيكزس بلاير 3 ديسمبر 2016

رفع ثغرة الامتياز في أداة تحميل التشغيل Motorola

قد تؤدي زيادة ثغرة الامتياز في أداة تحميل التشغيل Motorola إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق أداة تحميل التشغيل. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10277 أ-33840490*
شديد الأهمية نيكزس 6 21 ديسمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0331 أ-34113000*
N-CVE-2017-0331
شديد الأهمية نيكزس 9 4 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الطاقة Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الطاقة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0604 أ-35392981
مراقبة الجودة-CR#826589
شديد الأهمية لا أحد* 15 فبراير 2017

* أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة لا تتأثر بهذه الثغرة الأمنية.

ثغرات أمنية في مكونات كوالكوم

تؤثر هذه الثغرات الأمنية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرات Qualcomm AMSS الأمنية لشهر أغسطس وسبتمبر وأكتوبر وديسمبر 2016.

مكافحة التطرف العنيف مراجع خطورة* أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10240 أ-32578446**
مراقبة الجودة-CR#955710
شديد الأهمية نيكزس 6P كوالكوم الداخلية
CVE-2016-10241 أ-35436149**
مراقبة الجودة-CR#1068577
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL كوالكوم الداخلية
CVE-2016-10278 أ-31624008**
مراقبة الجودة-CR#1043004
عالي بكسل، بكسل XL كوالكوم الداخلية
CVE-2016-10279 أ-31624421**
مراقبة الجودة-CR#1031821
عالي بكسل، بكسل XL كوالكوم الداخلية

* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libxml2

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libxml2 إلى تمكين المهاجم من استخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بأي امتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في تطبيق يستخدم هذه المكتبة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-5131 أ-32956747* عالي لا أحد** 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 23 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج التشغيل الحراري MediaTek

يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج التشغيل الحراري MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10280 أ-28175767*
م-ALPS02696445
عالي لا أحد** 11 أبريل 2016
CVE-2016-10281 أ-28175647*
م-ALPS02696475
عالي لا أحد** 11 أبريل 2016
CVE-2016-10282 أ-33939045*
م-ALPS03149189
عالي لا أحد** 27 ديسمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10283 أ-32094986
مراقبة الجودة-CR#2002052
عالي نيكسوس 5X، بيكسل، بيكسل XL، أندرويد وان 11 أكتوبر 2016

رفع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10284 أ-32402303*
مراقبة الجودة-CR#2000664
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 24 أكتوبر 2016
CVE-2016-10285 أ-33752702
مراقبة الجودة-CR#1104899
عالي بكسل، بكسل XL 19 ديسمبر 2016
CVE-2016-10286 أ-35400904
مراقبة الجودة-CR#1090237
عالي بكسل، بكسل XL 15 فبراير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في النظام الفرعي لأداء kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2015-9004 أ-34515362
نواة المنبع
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، بكسل، بكسل XL، بكسل C، أندرويد وان، نيكزس بلاير 23 نوفمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10287 أ-33784446
مراقبة الجودة-CR#1112751
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 20 ديسمبر 2016
CVE-2017-0606 أ-34088848
مراقبة الجودة-CR#1116015
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 3 يناير 2017
CVE-2016-5860 أ-34623424
مراقبة الجودة-CR#1100682
عالي بكسل، بكسل XL 22 يناير 2017
CVE-2016-5867 أ-35400602
مراقبة الجودة-CR#1095947
عالي لا أحد* 15 فبراير 2017
CVE-2017-0607 أ-35400551
مراقبة الجودة-CR#1085928
عالي بكسل، بكسل XL 15 فبراير 2017
CVE-2017-0608 أ-35400458
مراقبة الجودة-CR#1098363
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017
CVE-2017-0609 أ-35399801
مراقبة الجودة-CR#1090482
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017
CVE-2016-5859 أ-35399758
مراقبة الجودة-CR#1096672
عالي لا أحد* 15 فبراير 2017
CVE-2017-0610 أ-35399404
مراقبة الجودة-CR#1094852
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017
CVE-2017-0611 أ-35393841
مراقبة الجودة-CR#1084210
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017
CVE-2016-5853 أ-35392629
مراقبة الجودة-CR#1102987
عالي لا أحد* 15 فبراير 2017

* أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة لا تتأثر بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm LED

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm LED إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10288 أ-33863909
مراقبة الجودة-CR#1109763
عالي بكسل، بكسل XL 23 ديسمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل التشفير Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل التشفير Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10289 أ-33899710
مراقبة الجودة-CR#1116295
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 24 ديسمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل الذاكرة المشتركة لشركة Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الذاكرة المشتركة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10290 أ-33898330
مراقبة الجودة-CR#1109782
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 24 ديسمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Slimbus

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Slimbus إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10291 أ-34030871
مراقبة الجودة-CR#986837
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 31 ديسمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm ADSPRPC

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm ADSPRPC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0465 أ-34112914
مراقبة الجودة-CR#1110747
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 5 يناير 2017

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Secure Execution Environment Communicator

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Secure Execution Environment Communicator إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0612 أ-34389303
مراقبة الجودة-CR#1061845
عالي بكسل، بكسل XL 10 يناير 2017
CVE-2017-0613 أ-35400457
مراقبة الجودة-CR#1086140
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017
CVE-2017-0614 أ-35399405
مراقبة الجودة-CR#1080290
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017

رفع ثغرة الامتياز في برنامج تشغيل الطاقة MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الطاقة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0615 أ-34259126*
م-ALPS03150278
عالي لا أحد** 12 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل مقاطعة إدارة نظام MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل مقاطعة إدارة نظام MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0616 أ-34470286*
م-ALPS03149160
عالي لا أحد** 19 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0617 أ-34471002*
م-ALPS03149173
عالي لا أحد** 19 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل قائمة انتظار أوامر MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل قائمة انتظار أوامر MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0618 أ-35100728*
م-ALPS03161536
عالي لا أحد** 7 فبراير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل وحدة تحكم Qualcomm pin

قد تؤدي زيادة ثغرة الامتيازات في برنامج تشغيل وحدة تحكم Qualcomm pin إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0619 أ-35401152
مراقبة الجودة-CR#826566
عالي نيكزس 6، أندرويد وان 15 فبراير 2017

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Secure Channel Manager

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Secure Channel Manager إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0620 أ-35401052
مراقبة الجودة-CR#1081711
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017

رفع ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-5862 أ-35399803
مراقبة الجودة-CR#1099607
عالي بكسل، بكسل XL 15 فبراير 2017

رفع ثغرة الامتياز في برنامج تشغيل منظم الجهد kernel

يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج تشغيل منظم جهد kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-9940 أ-35399757
نواة المنبع
عالي نيكزس 6، نيكزس 9، بكسل سي، أندرويد وان، نيكزس بلاير 15 فبراير 2017

رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0621 أ-35399703
مراقبة الجودة-CR#831322
عالي أندرويد وان 15 فبراير 2017

رفع ثغرة الامتياز في برنامج تشغيل شبكة Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شبكة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-5868 أ-35392791
مراقبة الجودة-CR#1104431
عالي نيكزس 5X، بكسل، بكسل XL 15 فبراير 2017

رفع ثغرة الامتياز في النظام الفرعي لشبكات kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لشبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-7184 أ-36565222
نواة المنبع [2]
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، بكسل، بكسل XL، أندرويد وان 23 مارس 2017

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Goodix

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Goodix إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0622 أ-32749036
مراقبة الجودة-CR#1098602
عالي أندرويد وان جوجل الداخلية

رفع ثغرة الامتياز في أداة تحميل التشغيل HTC

قد تؤدي زيادة ثغرة الامتياز في أداة تحميل التشغيل HTC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق أداة تحميل التشغيل. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0623 أ-32512358*
عالي بكسل، بكسل XL جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0624 أ-34327795*
مراقبة الجودة-CR#2005832
عالي نيكزس 5X، بكسل، بكسل XL 16 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل قائمة انتظار أوامر MediaTek

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل قائمة انتظار أوامر MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0625 أ-35142799*
م-ALPS03161531
عالي لا أحد** 8 فبراير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل محرك التشفير Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل محرك التشفير Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0626 أ-35393124
مراقبة الجودة-CR#1088050
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017

رفض ثغرة الخدمة في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي ثغرة رفض الخدمة في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين مهاجم قريب من التسبب في رفض الخدمة في نظام Wi-Fi الفرعي. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10292 أ-34514463*
مراقبة الجودة-CR#1065466
عالي نيكزس 5X، بكسل، بكسل XL 16 ديسمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل kernel UVC

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل kernel UVC إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0627 أ-33300353*
معتدل نيكزس 5X، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 2 ديسمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10293 أ-33352393
مراقبة الجودة-CR#1101943
معتدل نيكزس 5X، نيكزس 6P، أندرويد وان 4 ديسمبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الطاقة Qualcomm (خاص بالجهاز)

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الطاقة Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10294 أ-33621829
مراقبة الجودة-CR#1105481
معتدل نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 14 ديسمبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm LED

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل Qualcomm LED إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10295 أ-33781694
مراقبة الجودة-CR#1109326
معتدل بكسل، بكسل XL 20 ديسمبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الذاكرة المشتركة Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الذاكرة المشتركة Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10296 أ-33845464
مراقبة الجودة-CR#1109782
معتدل نيكزس 5X، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 22 ديسمبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل كاميرا Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0628 أ-34230377
مراقبة الجودة-CR#1086833
معتدل نيكزس 5X، نيكزس 6، بكسل، بكسل XL 10 يناير 2017
CVE-2017-0629 أ-35214296
مراقبة الجودة-CR#1086833
معتدل نيكزس 5X، نيكزس 6، بكسل، بكسل XL 8 فبراير 2017

ثغرة أمنية في الكشف عن المعلومات في النظام الفرعي لتتبع kernel

قد تؤدي الثغرة الأمنية للكشف عن المعلومات في النظام الفرعي لتتبع kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0630 أ-34277115*
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، بكسل، بكسل XL، بكسل C، أندرويد وان، نيكزس بلاير 11 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الصوت Qualcomm

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-5858 أ-35400153
مراقبة الجودة-CR#1096799 [2]
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل كاميرا Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0631 أ-35399756
مراقبة الجودة-CR#1093232
معتدل نيكزس 5X، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-5347 أ-35394329
مراقبة الجودة-CR#1100878
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 15 فبراير 2017

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm SPCom

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل Qualcomm SPCom إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-5854 أ-35392792
مراقبة الجودة-CR#1092683
معتدل لا أحد* 15 فبراير 2017
CVE-2016-5855 أ-35393081
مراقبة الجودة-CR#1094143
معتدل لا أحد* 15 فبراير 2017

* أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي قامت بتثبيت جميع التحديثات المتاحة لا تتأثر بهذه الثغرة الأمنية.

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الصوت Qualcomm

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0632 أ-35392586
مراقبة الجودة-CR#832915
معتدل أندرويد وان 15 فبراير 2017

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Broadcom Wi-Fi إلى تمكين مكون ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0633 أ-36000515*
ب-رب #117131
معتدل نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 23 فبراير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل شاشة اللمس Synaptics

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0634 أ-32511682*
معتدل بكسل، بكسل XL جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرات أمنية في مكونات كوالكوم

تم إصدار هذه الثغرات الأمنية التي تؤثر على مكونات Qualcomm كجزء من نشرات Qualcomm AMSS الأمنية بين عامي 2014 و2016. وقد تم تضمينها في نشرة أمان Android هذه لربط إصلاحاتها بمستوى تصحيح أمان Android.

مكافحة التطرف العنيف مراجع خطورة* أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-9923 أ-35434045** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2014-9924 أ-35434631** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2014-9925 أ-35444657** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2014-9926 أ-35433784** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2014-9927 أ-35433785** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2014-9928 أ-35438623** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2014-9929 أ-35443954**
مراقبة الجودة-CR#644783
شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2014-9930 أ-35432946** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2015-9005 أ-36393500** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2015-9006 أ-36393450** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2015-9007 أ-36393700** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2016-10297 أ-36393451** شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2014-9941 أ-36385125** عالي لا أحد*** كوالكوم الداخلية
CVE-2014-9942 أ-36385319** عالي لا أحد*** كوالكوم الداخلية
CVE-2014-9943 أ-36385219** عالي لا أحد*** كوالكوم الداخلية
CVE-2014-9944 أ-36384534** عالي لا أحد*** كوالكوم الداخلية
CVE-2014-9945 A-36386912 ** عالي لا أحد*** Qualcomm Internal
CVE-2014-9946 A-36385281 ** عالي لا أحد*** Qualcomm Internal
CVE-2014-9947 A-36392400 ** عالي لا أحد*** Qualcomm Internal
CVE-2014-9948 A-36385126 ** عالي لا أحد*** Qualcomm Internal
CVE-2014-9949 A-36390608 ** عالي لا أحد*** Qualcomm Internal
CVE-2014-9950 A-36385321 ** عالي لا أحد*** Qualcomm Internal
CVE-2014-9951 A-36389161 ** عالي لا أحد*** Qualcomm Internal
CVE-2014-9952 A-36387019 ** عالي لا أحد*** Qualcomm Internal

* تم تحديد تصنيف الشدة لهذه الثغرات من قبل البائع.

** التصحيح لهذه القضية غير متاح للجمهور. يرد التحديث في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتاحة من موقع مطور Google .

*** أجهزة Google المدعومة على Android 7.1.1 أو لاحقًا التي قامت بتثبيت جميع التحديثات المتاحة لا تتأثر بهذه الثغرة الأمنية.

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .

  • مستويات تصحيح الأمان لعام 2017-05-01 أو في وقت لاحق معالجة جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2017-05-01.
  • مستويات تصحيح الأمان لعام 2017-05-05 أو فيما بعد معالجة جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2017-05-05 وجميع مستويات التصحيح السابقة.

يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]: [2017-05-01]
  • [ro.build.version.security_patch]: [2017-05-05]

2. لماذا تحتوي هذه النشرة على مستويين من التصحيح الأمني؟

تحتوي هذه النشرة على مستويين من التصحيح الأمني ​​بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.

  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 01 مايو 2017 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا ، بالإضافة إلى إصلاحات لجميع المشكلات الواردة في نشرات الأمان السابقة.
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 05 مايو 2017 أو الأحدث جميع التصحيحات المعمول بها في هذه النشرات الأمان (والسابقة).

يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.

3. كيف يمكنني تحديد أجهزة Google التي تتأثر بكل مشكلة؟

في أقسام تفاصيل أمن الأمان 2017-05-01 و 2017-05-05 ، يحتوي كل جدول على عمود محدث لأجهزة Google ويغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على جميع أجهزة البكسل وأجهزة البكسل ، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . "الكل" يلف الأجهزة المدعومة التالية: Nexus 5x ، Nexus 6 ، Nexus 6P ، Nexus 9 ، Android One ، Nexus Player ، Pixel C ، Pixel ، و Pixel XL.
  • بعض أجهزة Google : إذا لم تؤثر مشكلة على جميع أجهزة Google ، يتم سرد أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
  • لا توجد أجهزة Google : إذا لم تتأثر أي أجهزة Google التي تعمل بنظام Android 7.0 بالمشكلة ، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Google المحدثة .

4. ماذا تفعل الإدخالات في خريطة عمود المراجع؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. خريطة البادئات هذه على النحو التالي:

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

التنقيحات

  • 01 مايو 2017: نشرة نشرت.
  • 02 مايو 2017: نشرة منقحة لتشمل روابط AOSP.
  • 10 أغسطس 2017: نشرة منقحة لتشمل رابط AOSP إضافي لـ CVE-2017-0493.
  • 17 أغسطس 2017: نشرة منقحة لتحديث الأرقام المرجعية.
  • 03 أكتوبر 2017: نشرة منقحة لإزالة CVE-2017-0605.