تاريخ النشر: 5 تموز (يوليو) 2017 | تاريخ التعديل: 26 أيلول (سبتمبر) 2017
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. تعالج مستويات تصحيحات الأمان التي تم إصدارها في 5 تموز (يوليو) 2017 أو الإصدارات الأحدث جميع هذه المشاكل. يمكنك الرجوع إلى جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان على الجهاز.
تم إبلاغ الشركاء بالمشاكل الموضّحة في النشرة قبل شهر على الأقل. تم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) ويمكن الوصول إليها من خلال هذا الإشعار. يتضمّن هذا النشرة أيضًا روابط إلى تصحيحات خارج إطار AOSP.
إنّ أخطر هذه المشاكل هي ثغرة أمنية خطيرة في إطار عمل الوسائط يمكن أن تتيح لمهاجم عن بُعد استخدام ملف مصمّم خصيصًا ل ejecutang رمز عشوائي في سياق عملية مميّزة. يستند تقييم الشدة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى قسم إجراءات التخفيف في Android و"Google Play للحماية" لمعرفة تفاصيل عن وسائل حماية منصّة أمان Android و"Google Play للحماية"، اللتين تُحسِّنان من أمان منصّة Android.
وننصحك بقبول هذه التحديثات على أجهزتك.
ملاحظة: تتوفّر معلومات عن أحدث تحديث عبر الهواء وصور البرامج الثابتة لأجهزة Google في القسم تحديثات أجهزة Google.
الإشعارات
- تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان بهدف منح شركاء Android
المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات
المشابهة بشكل أسرع على جميع أجهزة Android. يمكنك الاطّلاع على الأسئلة الشائعة والإجابات عنها للحصول على
معلومات إضافية:
- 2017-07-01: سلسلة جزئية لمستوى تصحيح الأمان تشير سلسلة مستوى تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01-07-2017 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- 2017-07-05: سلسلة كاملة لمستوى تحديث الأمان تشير سلسلة رمز تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخَي 01-07-2017 و05-07-2017 (وجميع سلاسل مستويات رمز تصحيح الأمان السابقة).
تدابير التخفيف في Android و"Google Play للحماية"
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام Android الأساسي للأمان وخدمات الحماية، مثل Google Play للحماية. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- تم تحسين الإصدارات الأحدث من نظام Android لمنع استغلال العديد من المشاكل على هذا النظام. وننصحك بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يرصد فريق أمان Android إساءة الاستخدام بشكل نشط من خلال Google Play للحماية ويحذّر المستخدمين بشأن التطبيقات التي يُحتمل أن تكون ضارة. تكون خدمات "Google Play للحماية" مفعّلة تلقائيًا على الأجهزة التي تشمل خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبّتون التطبيقات من خارج "متجر Google Play".
مستوى رمز تصحيح الأمان في 1 تموز (يوليو) 2017: تفاصيل الثغرة الأمنية
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 01-07-2017. يتم تجميع نقاط الضعف ضمن المكوّن الذي تؤثر فيه. يتوفّر وصف لل المشكلة وجدول يتضمّن معرّف CVE والإشارات المرتبطة به ونوع الثغرة الأمنية ومستوى خطورتها وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). نربط بين التغيير العلني الذي تم إجراؤه لحلّ المشكلة ورقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تتعلّق تغييرات متعدّدة بخلل واحد، يتم ربط مراجع إضافية بأرقام تالية لرقم تعريف الخلل.
وقت التشغيل
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم عن بُعد باستخدام ملف مصمّم خصيصًا لتنفيذ رمز عشوائي في سياق عملية غير مفوَّضة.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | RCE | متوسط | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
إطار العمل
يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تفعيل تطبيق محلي ضار باستخدام ملف تم إنشاؤه خصيصًا لتنفيذ رمز عشوائي في سياق تطبيق يستخدم المكتبة.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | EoP | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0665 | A-36991414 | EoP | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0666 | A-37285689 | EoP | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0667 | A-37478824 | EoP | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0668 | A-22011579 | رقم التعريف | متوسط | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0669 | A-34114752 | رقم التعريف | عالية | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0670 | A-36104177 | DoS | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
المكتبات
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم عن بُعد باستخدام ملف مصمّم خصيصًا لتنفيذ رمز عشوائي في سياق تطبيق يستخدم المكتبة.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762* | RCE | عالية | 4.4.4 |
| CVE-2016-2109 | A-35443725 | DoS | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0672 | A-34778578 | DoS | عالية | 7.0 و7.1.1 و7.1.2 |
إطار عمل الوسائط
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم عن بُعد باستخدام ملف مصمّم خصيصًا لتنفيذ رمز برمجي عشوائي في سياق عملية مميّزة.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | RCE | حرِج | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0673 | A-33974623 | RCE | حرِج | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0674 | A-34231163 | RCE | حرِج | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0675 | A-34779227 [2] | RCE | حرِج | 6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0676 | A-34896431 | RCE | حرِج | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0677 | A-36035074 | RCE | حرِج | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0678 | A-36576151 | RCE | حرِج | 7.0 و7.1.1 و7.1.2 |
| CVE-2017-0679 | A-36996978 | RCE | حرِج | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0680 | A-37008096 | RCE | حرِج | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0681 | A-37208566 | RCE | حرِج | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0682 | A-36588422* | RCE | عالية | 7.0 و7.1.1 و7.1.2 |
| CVE-2017-0683 | A-36591008* | RCE | عالية | 7.0 و7.1.1 و7.1.2 |
| CVE-2017-0684 | A-35421151 | EoP | عالية | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0685 | A-34203195 | DoS | عالية | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0686 | A-34231231 | DoS | عالية | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0688 | A-35584425 | DoS | عالية | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0689 | A-36215950 | DoS | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0690 | A-36592202 | DoS | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0691 | A-36724453 | DoS | عالية | 7.0 و7.1.1 و7.1.2 |
| CVE-2017-0692 | A-36725407 | DoS | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0693 | A-36993291 | DoS | عالية | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0694 | A-37093318 | DoS | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0695 | A-37094889 | DoS | عالية | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0696 | A-37207120 | DoS | عالية | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0697 | A-37239013 | DoS | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0698 | A-35467458 | رقم التعريف | متوسط | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0699 | A-36490809 | رقم التعريف | متوسط | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
واجهة مستخدِم النظام
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم عن بُعد باستخدام ملف تم إنشاؤه خصيصًا لتنفيذ رمز عشوائي في سياق عملية مميّزة.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | RCE | عالية | 7.1.1 و7.1.2 |
| CVE-2017-0701 | A-36385715 [2] | RCE | عالية | 7.1.1 و7.1.2 |
| CVE-2017-0702 | A-36621442 | RCE | عالية | 7.1.1 و7.1.2 |
| CVE-2017-0703 | A-33123882 | EoP | عالية | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 |
| CVE-2017-0704 | A-33059280 | EoP | متوسط | 7.1.1 و7.1.2 |
مستوى رمز تصحيح الأمان في 05-07-2017: تفاصيل الثغرة الأمنية
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 05-07-2017. يتم تجميع نقاط الضعف ضمن المكوّن الذي تؤثر فيه، وتشمل تفاصيل مثل CVE والمراجع المرتبطة ونوع الثغرة ومستوى خطورتها والمكوّن (حيثما ينطبق ذلك) وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). ونربط التغيير العلني الذي تم من خلاله حلّ المشكلة بمعرّف الخطأ، مثل قائمة التغييرات في AOSP، متى كان ذلك ممكنًا. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرّف الخطأ.
مكونات Broadcom
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم قريب بتنفيذ رمز برمجي عشوائي في سياق النواة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027* B-RB#123023 |
RCE | حرِج | برنامج تشغيل Wi-Fi |
| CVE-2017-0705 | A-34973477* B-RB#119898 |
EoP | متوسط | برنامج تشغيل Wi-Fi |
| CVE-2017-0706 | A-35195787* B-RB#120532 |
EoP | متوسط | برنامج تشغيل Wi-Fi |
مكوّنات HTC
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467* | EoP | متوسط | برنامج تشغيل مصابيح LED |
| CVE-2017-0708 | A-35384879* | رقم التعريف | متوسط | برنامج تشغيل الصوت |
| CVE-2017-0709 | A-35468048* | رقم التعريف | ضعيفة | برنامج تشغيل مركز الاستشعار |
مكوّنات النواة
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 الإصدار الأحدث للنواة |
EoP | عالية | النظام الفرعي للشبكات |
| CVE-2017-5970 | A-35805460 الإصدار الأحدث للنواة |
DoS | عالية | النظام الفرعي للشبكات |
| CVE-2015-5707 | A-35841297 النواة الأساسية [2] |
EoP | متوسط | برنامج تشغيل SCSI |
| CVE-2017-7308 | A-36725304 النواة الأساسية [2] [3] |
EoP | متوسط | برنامج تشغيل الشبكة |
| CVE-2014-9731 | A-35841292 الإصدار الأحدث للنواة |
رقم التعريف | متوسط | نظام الملفات |
مكونات MediaTek
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953* M-ALPS03206781 |
EoP | عالية | برنامج تشغيل الشبكة |
مكونات NVIDIA
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204* N-CVE-2017-0340 |
EoP | عالية | Libnvparser |
| CVE-2017-0326 | A-33718700* N-CVE-2017-0326 |
رقم التعريف | متوسط | برنامج تشغيل الفيديو |
مكونات Qualcomm
يمكن أن تسمح الثغرة الأمنية الأكثر خطورة في هذا القسم لتطبيق محلي ضار بتنفيذ رمز برمجي عشوائي في سياق النواة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 |
EoP | عالية | برنامج الإقلاع |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 |
EoP | عالية | برنامج الإقلاع |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 |
EoP | عالية | برنامج تشغيل الكاميرا |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 |
EoP | عالية | برنامج تشغيل وحدة معالجة الرسومات |
| CVE-2017-8263 | A-34126808* QC-CR#1107034 |
EoP | عالية | النظام الفرعي للذاكرة المشتركة المجهولة |
| CVE-2017-8267 | A-34173755* QC-CR#2001129 |
EoP | عالية | النظام الفرعي للذاكرة المشتركة المجهولة |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [2] |
EoP | عالية | برنامج الإقلاع |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 |
EoP | متوسط | برنامج تشغيل USB HID |
| CVE-2017-8243 | A-34112490* QC-CR#2001803 |
EoP | متوسط | برنامج تشغيل منظومة على رقاقة |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 |
EoP | متوسط | برنامج تشغيل الصوت |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 |
EoP | متوسط | برنامج تشغيل Wi-Fi |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 |
EoP | متوسط | برنامج تشغيل منظومة على رقاقة |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 |
EoP | متوسط | برنامج تشغيل الكاميرا |
| CVE-2017-8261 | A-35139833* QC-CR#2013631 |
EoP | متوسط | برنامج تشغيل الكاميرا |
| CVE-2017-8264 | A-33299365* QC-CR#1107702 |
EoP | متوسط | برنامج تشغيل الكاميرا |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2017-8268 | A-34620535* QC-CR#2002207 |
EoP | متوسط | برنامج تشغيل الكاميرا |
| CVE-2017-8270 | A-35468665* QC-CR#2021363 |
EoP | متوسط | برنامج تشغيل Wi-Fi |
| CVE-2017-8271 | A-35950388* QC-CR#2028681 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2017-8272 | A-35950805* QC-CR#2028702 |
EoP | متوسط | برنامج تشغيل الفيديو |
| CVE-2017-8254 | A-36252027 QC-CR#832914 |
رقم التعريف | متوسط | برنامج تشغيل الصوت |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 |
رقم التعريف | متوسط | برنامج تشغيل الكاميرا |
| CVE-2017-8269 | A-33967002* QC-CR#2013145 |
رقم التعريف | متوسط | برنامج تشغيل IPA |
مكونات المغلقة المصدر من Qualcomm
تؤثر هذه الثغرات الأمنية في مكونات Qualcomm، وقد تم وصفها بالتفصيل في مزيد من رسائل الأمان المتعلّقة بمجموعة خدمات إدارة الخدمات (AMSS) من Qualcomm في الفترة من 2014 إلى 2016. وقد تم تضمينها في نشرة أمان Android هذه لربط الإصلاحات بمستوى رمز تصحيح أمان Android. تتوفّر حلول لهذه الثغرات الأمنية مباشرةً من شركة Qualcomm.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9968 | A-37304413* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9973 | A-37470982* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9974 | A-37471979* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9975 | A-37471230* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9977 | A-37471087* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9978 | A-37468982* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9979 | A-37471088* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2014-9980 | A-37471029* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-0575 | A-37296999* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-8592 | A-37470090* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-8595 | A-37472411* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-8596 | A-37472806* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9034 | A-37305706* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9035 | A-37303626* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9036 | A-37303519* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9037 | A-37304366* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9038 | A-37303027* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9039 | A-37302628* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9040 | A-37303625* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9041 | A-37303518* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9042 | A-37301248* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9043 | A-37305954* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9044 | A-37303520* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9045 | A-37302136* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9046 | A-37301486* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9047 | A-37304367* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9048 | A-37305707* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9049 | A-37301488* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9050 | A-37302137* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9051 | A-37300737* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9052 | A-37304217* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9053 | A-37301249* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9054 | A-37303177* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9055 | A-37472412* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9060 | A-37472807* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9061 | A-37470436* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9062 | A-37472808* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9067 | A-37474000* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9068 | A-37470144* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9069 | A-37470777* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9070 | A-37474001* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9071 | A-37471819* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9072 | A-37474002* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2015-9073 | A-37473407* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10343 | A-32580186* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10344 | A-32583954* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10346 | A-37473408* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10347 | A-37471089* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10382 | A-28823584* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10383 | A-28822389* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10388 | A-32580294* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-10391 | A-32583804* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-5871 | A-37473055* | لا ينطبق | عالية | مكوّن مغلق المصدر |
| CVE-2016-5872 | A-37472809* | لا ينطبق | عالية | مكوّن مغلق المصدر |
تحديثات أجهزة Google
يحتوي هذا الجدول على مستوى تصحيح الأمان في أحدث تحديث عبر الهواء (OTA) وصور البرامج الثابتة لأجهزة Google. تتوفّر صور البرامج الثابتة لأجهزة Google على موقع "مطوّرو تطبيقات Google".
| جهاز Google | مستوى رمز تصحيح الأمان |
|---|---|
| Pixel / Pixel XL | 5 تموز (يوليو) 2017 |
| Nexus 5X | 5 تموز (يوليو) 2017 |
| Nexus 6 | 5 تموز (يوليو) 2017 |
| Nexus 6P | 5 تموز (يوليو) 2017 |
| Nexus 9 | 5 تموز (يوليو) 2017 |
| Nexus Player | 5 تموز (يوليو) 2017 |
| Pixel C | 5 تموز (يوليو) 2017 |
تحتوي تحديثات أجهزة Google أيضًا على رموز تصحيح لهذه النقاط الضعيفة المتعلّقة بالأمان، إذا كان ذلك منطبقًا:
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864* | EoP | متوسط | TCB |
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
| CVE | الباحثون |
|---|---|
| CVE-2017-8263 | "بيلي لاو" من Google |
| CVE-2017-0711 | تشنغمينغ يانغ وبايوزنغ دينغ ويوان سونغ من مجموعة Alibaba Mobile Security |
| CVE-2017-0681 | تشي زانغ وهانشيانغ وين ومينجيانغ تشو (@Mingjian_Zhou) وشيكسيان جيانغ من فريق C0RE |
| CVE-2017-0706 | داكسينغ قوه (@freener0) من Xuanwu Lab، Tencent |
| CVE-2017-8260 | دريك (@derrekr6) وسكوت باوير |
| CVE-2017-8265 | دي شين (@returnsme) من KeenLab (@keen_lab)، Tencent |
| CVE-2017-0703 | دميتري لوكيانينكا |
| CVE-2017-0692 وCVE-2017-0694 | إلفيت وغونغ غوانغ من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8266 وCVE-2017-8243 وCVE-2017-8270 | Gengjia Chen (@chengjia4574) وpjf من مختبر IceSword، شركة Qihoo 360 Technology Ltd. |
| CVE-2017-0665 | تشي زانغ وهانشيانغ وين ومينجيانغ تشو (@Mingjian_Zhou) وشيكسيان جيانغ من فريق C0RE |
| CVE-2017-8268 وCVE-2017-8261 | جيانكينغ تشاو (@jianqiangzhao) وpjf من مختبر IceSword، Qihoo 360 |
| CVE-2017-0698 | جوي براند من شركة Census Consulting Inc. |
| CVE-2017-0666 وCVE-2017-0684 | مينغيان تشو (@Mingjian_Zhou) وتشي زانغ وشيكسيان جيانغ من فريق C0RE |
| CVE-2017-0697 وCVE-2017-0670 | Niky1235 (@jiych_guru) |
| CVE-2017-9417 | "نيتاي أرتنستين" من Exodus Intelligence |
| CVE-2017-0705 وCVE-2017-8259 | Scott Bauer |
| CVE-2017-0667 | تيموثي بيكر من شركة CSS Inc. |
| CVE-2017-0682 وCVE-2017-0683 وCVE-2017-0676 وCVE-2017-0696 وCVE-2017-0675 وCVE-2017-0701 وCVE-2017-0702 وCVE-2017-0699 | فاسيليوس فاسيليف |
| CVE-2017-0695 وCVE-2017-0689 وCVE-2017-0540 وCVE-2017-0680 وCVE-2017-0679 وCVE-2017-0685 وCVE-2017-0686 وCVE-2017-0693 وCVE-2017-0674 وCVE-2017-0677 | "فيليب فونتانا" (@VYSEa) من فريق الاستجابة للتهديدات على الأجهزة الجوّالة في Trend Micro |
| CVE-2017-0708 | شيلينغ غون، من قسم منصة الأمان في Tencent |
| CVE-2017-0690 | ياكانغ (@dnpushme) و ليادونغ من فريق Qihoo 360 Qex |
| CVE-2017-8269 وCVE-2017-8271 وCVE-2017-8272 وCVE-2017-8267 | "يونغغانغ قو" (@guoygang) من IceSword Lab، شركة Qihoo 360 Technology Co. Ltd. |
| CVE-2017-8264 وCVE-2017-0326 وCVE-2017-0709 | "يوان-تسونغ لو" (computernik@gmail.com) و"شكسيان جيانغ" من فريق C0RE |
| CVE-2017-0704 وCVE-2017-0669 | يوكسيانغ لي (@Xbalien29) من قسم منصة الأمان في Tencent |
| CVE-2017-0710 | زاك ريغل (@ebeip90) من فريق أمان Android |
| CVE-2017-0678 | زينو هان، من مركز الاستجابة للأمن في تشنغدو، شركة Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0691 وCVE-2017-0700 | Zinuo Han من Chengdu Security Response Center، وQihoo 360 Technology Co. Ltd. وAo Wang (@ArayzSegment) من فريق Pangu |
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدَّثًا لحلّ هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى تصحيح الأمان على الجهاز، يُرجى الاطّلاع على التعليمات الواردة في جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus.
- تعالج مستويات تصحيحات الأمان بتاريخ 1-7-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 1-7-2017.
- تعالج مستويات تصحيحات الأمان بتاريخ 05-07-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05-07-2017 وجميع مستويات التصحيحات السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التعديلات ضبط مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. لماذا تتضمّن هذه النشرة الإخبارية مستويَين لرمز تصحيح الأمان؟
تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان ليتمكّن شركاء Android من تعديل مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بحلّ جميع المشاكل المذكورة في هذه النشرة واستخدام أحدث مستوى من تصحيحات الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 تموز (يوليو) 2017 جميع المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 تموز (يوليو) 2017 أو إصدارًا أحدث جميع الرموز الإصلاحية السارية في نشرات الأمان هذه (والسابقة).
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. ما معنى الإدخالات في عمود النوع؟
تشير الإدخالات في عمود النوع من جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز البرمجي عن بُعد |
| EoP | تجاوز الأذونات |
| رقم التعريف | الإفصاح عن المعلومات |
| DoS | حجب الخدمة |
| لا ينطبق | التصنيف غير متاح |
4. ما المقصود بالإدخالات في عمود المراجع؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية.
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
5. ما المقصود بعلامة * بجانب رقم تعريف الخطأ في Android في عمود المرجع؟
تظهر علامة * بجانب رقم تعريف الخطأ في Android في عمود المراجع للمشاكل غير المتاحة للجميع. يتضمّن تحديث هذه المشكلة بشكل عام أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
الإصدارات
| الإصدار | التاريخ | الملاحظات |
|---|---|---|
| 1 | 5 تموز (يوليو) 2017 | تم نشر النشرة. |
| 1.1 | 6 تموز (يوليو) 2017 | تم تعديل النشرة لتضمين روابط AOSP. |
| 1.2 | 11 تموز (يوليو) 2017 | تم تعديل النشرة لتعديل الإقرار. |
| 1.3 | 17 آب (أغسطس) 2017 | تم تعديل النشرة لتعديل الأرقام المرجعية. |
| 1.4 | 19 أيلول (سبتمبر) 2017 | تم تعديل الإشعارات بشأن CVE-2017-0710. |
| 1.5 | 26 أيلول (سبتمبر) 2017 | تم تعديل الإقرار بمعالجة CVE-2017-0681. |