تاريخ النشر: 5 حزيران (يونيو) 2017 | تاريخ التعديل: 17 آب (أغسطس) 2017
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. تعالج مستويات تصحيحات الأمان التي تم إصدارها في 5 حزيران (يونيو) 2017 أو الإصدارات الأحدث جميع هذه المشاكل. يمكنك الرجوع إلى جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان على الجهاز.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة قبل شهر على الأقل. سيتم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) وسيتم ربطها من هذه النشرة. يتضمّن هذا التقرير أيضًا روابط إلى تصحيحات خارج AOSP.
وأخطر هذه المشاكل هي ثغرة أمنية خطيرة في Media Framework يمكن أن تتيح لمهاجم عن بُعد استخدام ملف مصمّم خصيصًا لتسبب تلف الذاكرة أثناء معالجة ملفات الوسائط والبيانات. يستند تقييم الشدة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى القسم إجراءات التخفيف في Android و"Google Play للحماية" لمعرفة تفاصيل عن أمن منصة Android الحماية وGoogle Play للحماية، التي تحسِّن من أمان منصة Android.
وننصحك بقبول هذه التحديثات على أجهزتك.
ملاحظة: تتوفّر معلومات عن أحدث تحديث عبر الهواء (OTA) و صور البرامج الثابتة لأجهزة Google في قسم تحديثات أجهزة Google.
الإشعارات
- لقد سهّلنا نشرة الأمان الشهرية لتكون أسهل في القراءة. في إطار هذا التعديل، يتم تصنيف معلومات الثغرات الأمنية حسب المكوّن المتأثّر، ويتم ترتيبها حسب اسم المكوّن ضمن مستوى تصحيح الأمان، ويتم استضافة المعلومات الخاصة بأجهزة Google في قسم مخصّص.
- تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان بهدف منح شركاء Android
المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات
المشابهة بشكل أسرع على جميع أجهزة Android. يمكنك الاطّلاع على الأسئلة الشائعة والإجابات عنها للحصول على
معلومات إضافية:
- 2017-06-01: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة رمز تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01-06-2017 (وجميع سلاسل مستويات رمز تصحيح الأمان السابقة).
- 2017-06-05: سلسلة كاملة لمستوى رمز تصحيح الأمان تشير سلسلة مستوى تصحيح الأمان هذه إلى أنّه تمت معالجة جميع المشاكل المرتبطة بالتاريخَين 01-06-2017 و05-06-2017 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
تدابير التخفيف في Android و"Google Play للحماية"
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android وخدمات الحماية، مثل Google Play للحماية. تقلل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- تم تحسين الإصدارات الأحدث من نظام Android لمنع استغلال العديد من المشاكل على هذا النظام. وننصحك بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يرصد فريق أمان Android بشكل نشط حالات إساءة الاستخدام من خلال Google Play للحماية ويحذّر المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة. تكون خدمات "Google Play للحماية" مفعّلة تلقائيًا على الأجهزة التي تشمل خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبّتون التطبيقات من خارج "متجر Google Play".
مستوى رمز تصحيح الأمان في 01/06/2017: تفاصيل الثغرة الأمنية
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 01-06-2017. يتم تجميع نقاط الضعف ضمن المكوّن الذي تؤثر فيه. يتوفّر وصف لل المشكلة وجدول يتضمّن معرّف CVE والإشارات المرتبطة به ونوع الثغرة الأمنية ومستوى خطورتها وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). نربط بين التغيير العلني الذي تم إجراؤه لحلّ المشكلة ورقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تتعلّق تغييرات متعدّدة بخلل واحد، يتم ربط مراجع إضافية بأرقام تالية لرقم تعريف الخلل.
البلوتوث
يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات أذوناته.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2017-0645 | A-35385327 | EoP | متوسط | 6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0646 | A-33899337 | رقم التعريف | متوسط | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
المكتبات
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم عن بُعد باستخدام ملف مصمّم خصيصًا بتنفيذ رمز عشوائي في سياق عملية بدون امتيازات.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2015-8871 | A-35443562* | RCE | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 |
| CVE-2016-8332 | A-37761553* | RCE | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 |
| CVE-2016-5131 | A-36554209 | RCE | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2016-4658 | A-36554207 | RCE | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0663 | A-37104170 | RCE | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-7376 | A-36555370 | RCE | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-5056 | A-36809819 | RCE | متوسط | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-7375 | A-36556310 | RCE | متوسط | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0647 | A-36392138 | رقم التعريف | متوسط | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2016-1839 | A-36553781 | DoS | متوسط | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
إطار عمل الوسائط
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم عن بُعد باستخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة ملف الوسائط والبيانات.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2017-0637 | A-34064500 | RCE | حرِج | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0391 | A-32322258 | DoS | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0640 | A-33129467* | DoS | عالية | 6.0 و6.0.1 و7.0 و7.1.1 |
| CVE-2017-0641 | A-34360591 | DoS | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0642 | A-34819017 | DoS | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0643 | A-35645051* | DoS | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 |
| CVE-2017-0644 | A-35472997* | DoS | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 |
واجهة مستخدِم النظام
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم للمهاجم باستخدام ملف مصمّم خصيصًا لتنفيذ رمز عشوائي في سياق عملية غير مفوَّضة.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2017-0638 | A-36368305 | RCE | عالية | 7.1.1 و7.1.2 |
2017-06-05 مستوى رمز تصحيح الأمان: تفاصيل الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 05-06-2017. يتم تجميع الثغرات الأمنية ضمن المكوِّن الذي تؤثر فيه، وتشمل تفاصيل مثل CVE والإشارات المرتبطة ونوع الثغرة الأمنية ومستوى خطورتها و المكوِّن (حيث ينطبق ذلك) وإصدارات AOSP المعدَّلة (حيث ينطبق ذلك). ونربط التغيير العلني الذي تم من خلاله حلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بأرقام تليها معرّف الخطأ.
مكوّنات النواة
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-0648 | A-36101220* | EoP | عالية | برنامج تصحيح أخطاء FIQ |
| CVE-2017-0651 | A-35644815* | رقم التعريف | ضعيفة | النظام الفرعي ION |
المكتبات
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم عن بُعد باستخدام ملف تم إنشاؤه خصيصًا بالوصول إلى معلومات حسّاسة.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2015-7995 | A-36810065* | رقم التعريف | متوسط | 4.4.4 |
مكونات MediaTek
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-0636 | A-35310230* M-ALPS03162263 |
EoP | عالية | برنامج تشغيل قائمة انتظار الأوامر |
| CVE-2017-0649 | A-34468195* M-ALPS03162283 |
EoP | متوسط | برنامج تشغيل الصوت |
مكونات NVIDIA
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-6247 | A-34386301* N-CVE-2017-6247 |
EoP | عالية | برنامج تشغيل الصوت |
| CVE-2017-6248 | A-34372667* N-CVE-2017-6248 |
EoP | متوسط | برنامج تشغيل الصوت |
| CVE-2017-6249 | A-34373711* N-CVE-2017-6249 |
EoP | متوسط | برنامج تشغيل الصوت |
مكونات Qualcomm
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم قريب بتنفيذ رمز برمجي عشوائي في سياق النواة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-7371 | A-36250786 QC-CR#1101054 |
RCE | حرِج | برنامج تشغيل البلوتوث |
| CVE-2017-7365 | A-32449913 QC-CR#1017009 |
EoP | عالية | برنامج الإقلاع |
| CVE-2017-7366 | A-36252171 QC-CR#1036161 [2] |
EoP | عالية | برنامج تشغيل وحدة معالجة الرسومات |
| CVE-2017-7367 | A-34514708 QC-CR#1008421 |
DoS | عالية | برنامج الإقلاع |
| CVE-2016-5861 | A-36251375 QC-CR#1103510 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2016-5864 | A-36251231 QC-CR#1105441 |
EoP | متوسط | برنامج تشغيل الصوت |
| CVE-2017-6421 | A-36251986 QC-CR#1110563 |
EoP | متوسط | برنامج تشغيل شاشة MStar التي تعمل باللمس |
| CVE-2017-7364 | A-36252179 QC-CR#1113926 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2017-7368 | A-33452365 QC-CR#1103085 |
EoP | متوسط | برنامج تشغيل الصوت |
| CVE-2017-7369 | A-33751424 QC-CR#2009216 [2] |
EoP | متوسط | برنامج تشغيل الصوت |
| CVE-2017-7370 | A-34328139 QC-CR#2006159 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2017-7372 | A-36251497 QC-CR#1110068 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2017-7373 | A-36251984 QC-CR#1090244 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2017-8233 | A-34621613 QC-CR#2004036 |
EoP | متوسط | برنامج تشغيل الكاميرا |
| CVE-2017-8234 | A-36252121 QC-CR#832920 |
EoP | متوسط | برنامج تشغيل الكاميرا |
| CVE-2017-8235 | A-36252376 QC-CR#1083323 |
EoP | متوسط | برنامج تشغيل الكاميرا |
| CVE-2017-8236 | A-35047217 QC-CR#2009606 |
EoP | متوسط | برنامج تشغيل IPA |
| CVE-2017-8237 | A-36252377 QC-CR#1110522 |
EoP | متوسط | برنامج تشغيل الشبكة |
| CVE-2017-8242 | A-34327981 QC-CR#2009231 |
EoP | متوسط | برنامج تشغيل بيئة التنفيذ الآمنة |
| CVE-2017-8239 | A-36251230 QC-CR#1091603 |
رقم التعريف | متوسط | برنامج تشغيل الكاميرا |
| CVE-2017-8240 | A-36251985 QC-CR#856379 |
رقم التعريف | متوسط | برنامج تشغيل وحدة التحكّم في الدبابيس |
| CVE-2017-8241 | A-34203184 QC-CR#1069175 |
رقم التعريف | ضعيفة | برنامج تشغيل Wi-Fi |
مكونات Synaptics
يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات أذوناته.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-0650 | A-35472278* | EoP | ضعيفة | برنامج تشغيل الشاشة التي تعمل باللمس |
مكونات المغلقة المصدر من Qualcomm
تؤثر هذه الثغرات الأمنية في مكونات Qualcomm، وهي موضّحة بالتفصيل في مزيد من رسائل الأمان المتعلّقة بإدارة الخدمات الجوّالة (AMSS) من Qualcomm في الفترة من 2014 إلى 2016. ويتم تضمينها في نشرة أمان Android هذه لربط الإصلاحات بمستوى رمز تصحيح أمان Android. تتوفّر حلول لهذه الثغرات الأمنية مباشرةً من شركة Qualcomm.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2014-9960 | A-37280308* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2014-9961 | A-37279724* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2014-9953 | A-36714770* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2014-9967 | A-37281466* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9026 | A-37277231* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9027 | A-37279124* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9008 | A-36384689* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9009 | A-36393600* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9010 | A-36393101* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9011 | A-36714882* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9024 | A-37265657* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9012 | A-36384691* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9013 | A-36393251* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9014 | A-36393750* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9015 | A-36714120* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2015-9029 | A-37276981* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10338 | A-37277738* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10336 | A-37278436* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10333 | A-37280574* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10341 | A-37281667* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10335 | A-37282802* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10340 | A-37280614* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10334 | A-37280664* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10339 | A-37280575* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10298 | A-36393252* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2016-10299 | A-32577244* | لا ينطبق | حرِج | مكوّن مغلق المصدر |
| CVE-2014-9954 | A-36388559* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9955 | A-36384686* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9956 | A-36389611* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9957 | A-36387564* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9958 | A-36384774* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9962 | A-37275888* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9963 | A-37276741* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9959 | A-36383694* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9964 | A-37280321* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9965 | A-37278233* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9966 | A-37282854* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9023 | A-37276138* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9020 | A-37276742* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9021 | A-37276743* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9025 | A-37276744* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9022 | A-37280226* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9028 | A-37277982* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9031 | A-37275889* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9032 | A-37279125* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9033 | A-37276139* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9030 | A-37282907* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10332 | A-37282801* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10337 | A-37280665* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10342 | A-37281763* | لا ينطبق | عالية | مكوّن مغلق المصدر |
تحديثات أجهزة Google
يحتوي هذا الجدول على مستوى تصحيح الأمان في أحدث تحديث عبر الهواء (OTA) وصور البرامج الثابتة لأجهزة Google. تتوفّر صور البرامج الثابتة لأجهزة Google على موقع "مطوّرو تطبيقات Google".
| جهاز Google | مستوى رمز تصحيح الأمان |
|---|---|
| Pixel / Pixel XL | 5 حزيران (يونيو) 2017 |
| Nexus 5X | 5 حزيران (يونيو) 2017 |
| Nexus 6 | 5 حزيران (يونيو) 2017 |
| Nexus 6P | 5 حزيران (يونيو) 2017 |
| Nexus 9 | 5 حزيران (يونيو) 2017 |
| Nexus Player | 5 حزيران (يونيو) 2017 |
| Pixel C | 5 حزيران (يونيو) 2017 |
تحتوي تحديثات أجهزة Google أيضًا على رموز تصحيح لهذه النقاط الضعيفة المتعلّقة بالأمان، إذا كان ذلك منطبقًا:
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2017-0639 | A-35310991 | رقم التعريف | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
| CVE | الباحثون |
|---|---|
| CVE-2017-0643 وCVE-2017-0641 | إيكولار شو(Xu Jian) من Trend Micro |
| CVE-2017-0645 وCVE-2017-0639 | إنّ "إن هي" (@heeeeen4x) و"بو ليو" من MS509Team |
| CVE-2017-0649 | Gengjia Chen (@chengjia4574) وpjf من مختبر IceSword، شركة Qihoo 360 Technology Ltd. |
| CVE-2017-0646 | Godzheng (郑文选 -@VirtualSeekers) من Tencent PC Manager |
| CVE-2017-0636 | "جاك كورينا" (@JakeCorina) من فريق Shellphish Grill |
| CVE-2017-8233 | جيانكينغ تشاو (@jianqiangzhao) وpjf من مختبر IceSword، Qihoo 360 |
| CVE-2017-7368 | لوبوك زانغ (zlbzlb815@163.com) ويوان-تسونغ لو (computernik@gmail.com) وشيكسيان جيانغ من فريق C0RE |
| CVE-2017-8242 | "ناثان كراندال" (@natecray) من فريق أمان المنتجات في Tesla |
| CVE-2017-0650 | "عمر شوارتز" و"عمير كوهين" والدكتور "آساف شابيتاي" والدكتور "يوسي أورين" من مختبر Cyber Lab في جامعة بن جوريون |
| CVE-2017-0648 | "روه ها" (@roeehay) من Aleph Research، شركة HCL Technologies |
| CVE-2017-7369 وCVE-2017-6249 وCVE-2017-6247 وCVE-2017-6248 | sevenshen (@lingtongshen) من TrendMicro |
| CVE-2017-0642 وCVE-2017-0637 وCVE-2017-0638 | فاسيليوس فاسيليف |
| CVE-2017-0640 | "فيليب فونتانا" (@VYSEa) من فريق الاستجابة للتهديدات على الأجهزة الجوّالة في Trend Micro |
| CVE-2017-8236 | شيلينغ غون، من قسم منصة الأمان في Tencent |
| CVE-2017-0647 | ياكانغ (@dnpushme) و ليادونغ من فريق Qex في Qihoo 360 |
| CVE-2017-7370 | يونغغانغ قوه (@guoygang) من IceSword Lab، شركة Qihoo 360 Technology Co. Ltd |
| CVE-2017-0651 | "يوان-تسونغ لو" (computernik@gmail.com) و"شكسيان جيانغ" من فريق C0RE |
| CVE-2017-8241 | زوبين ميترا من Google |
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدَّثًا لحلّ هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى تصحيح الأمان على الجهاز، يُرجى الاطّلاع على التعليمات الواردة في جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus.
- تعالج مستويات تصحيحات الأمان بتاريخ 01-06-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 01-06-2017.
- تعالج مستويات تصحيحات الأمان بتاريخ 05-06-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05-06-2017 وجميع مستويات التصحيحات السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التعديلات ضبط مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2017-06-01]
- [ro.build.version.security_patch]:[2017-06-05]
2. لماذا تتضمّن هذه النشرة الإخبارية مستويَين لرمز تصحيح الأمان؟
تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان ليتمكّن شركاء Android من تعديل مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بحلّ جميع المشاكل المذكورة في هذه النشرة واستخدام أحدث مستوى من تصحيحات الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 حزيران (يونيو) 2017 كل المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لكل المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 حزيران (يونيو) 2017 أو إصدارًا أحدث جميع الرموز المتاحة لتصحيح الأخطاء في نشرة الأمان هذه (والسابقة).
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. ما معنى الإدخالات في عمود النوع؟
تشير الإدخالات في عمود النوع من جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز البرمجي عن بُعد |
| EoP | تجاوز الأذونات |
| رقم التعريف | الإفصاح عن المعلومات |
| DoS | حجب الخدمة |
| لا ينطبق | التصنيف غير متاح |
4. ما المقصود بالإدخالات في عمود المراجع؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية.
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
5. ما هو معنى الرمز * بجانب رقم تعريف خطأ Android في عمود المرجع ؟
تظهر علامة * بجانب رقم تعريف الخطأ في Android في عمود المراجع للمشاكل غير المتاحة للجميع. يتضمّن تحديث هذه المشكلة بشكل عام أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
الإصدارات
| الإصدار | التاريخ | الملاحظات |
|---|---|---|
| 1 | 5 حزيران (يونيو) 2017 | تم نشر النشرة. |
| 1.1 | 7 حزيران (يونيو) 2017 | تم تعديل النشرة لتضمين روابط AOSP. |
| 1.2 | 11 تموز (يوليو) 2017 | تم تعديل النشرة لتضمين CVE-2017-6249. |
| 1.3 | 17 آب (أغسطس) 2017 | تم تعديل النشرة لتعديل الأرقام المرجعية. |