نشرة أمان Android — أغسطس 2017

تم النشر في 7 أغسطس 2017 | تم التحديث في 23 أغسطس 2017

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. تتناول مستويات التصحيح الأمني ​​بتاريخ 05 أغسطس 2017 أو الإصدارات الأحدث جميع هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة منذ شهر على الأقل. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات في مستودع Android Open Source Project (AOSP) وتم ربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة في إطار الوسائط والتي يمكن أن تمكن المهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أنه تم إيقاف تشغيل عمليات تخفيف النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف Android وGoogle Play Protect للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وGoogle Play Protect، مما يعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

ملاحظة: تتوفر معلومات حول آخر تحديث عبر الهواء (OTA) وصور البرامج الثابتة لأجهزة Google في قسم تحديثات أجهزة Google .

الإعلانات

  • تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/08/2017 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة كافة المشكلات المرتبطة بـ 01-08-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 05/08/2017 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أن كافة المشكلات المرتبطة بـ 01-08-2017 و05-08-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة) قد تمت معالجتها.

عمليات تخفيف Android وGoogle Play Protect

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل Google Play Protect . تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق أمان Android بمراقبة إساءة الاستخدام بشكل نشط من خلال Google Play Protect ويحذر المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين Google Play Protect افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت تطبيقات من خارج Google Play.

01-08-2017 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-08-2017. يتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر عليه. يوجد وصف للمشكلة وجدول يتضمن CVE والمراجع المرتبطة ونوع الثغرة الأمنية وخطورتها وإصدارات AOSP المحدثة (حيثما أمكن). عندما يكون ذلك متاحًا، نقوم بربط التغيير العام الذي تناول المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

نطاق

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0712 أ-37207928 EOP معتدل 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

المكتبات

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بأي امتيازات.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0713 ا-32096780 [ 2 ] آر سي إي عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

الإطار الإعلامي

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0714 أ-36492637 آر سي إي شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0715 أ-36998372 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0716 أ-37203196 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0718 أ-37273547 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0719 أ-37273673 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0720 أ-37430213 آر سي إي شديد الأهمية 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0721 أ-37561455 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0722 أ-37660827 آر سي إي شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0723 أ-37968755 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0745 أ-37079296 آر سي إي شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0724 أ-36819262 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0725 أ-37627194 دوس عالي 7.0، 7.1.1، 7.1.2
CVE-2017-0726 أ-36389123 دوس عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0727 أ-33004354 EOP عالي 7.0، 7.1.1، 7.1.2
CVE-2017-0728 أ-37469795 دوس عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0729 أ-37710346 EOP عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0730 أ-36279112 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0731 أ-36075363 EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0732 أ-37504237 EOP عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0733 أ-38391487 دوس عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0734 أ-38014992 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0735 ا-38239864 [ 2 ] دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0736 أ-38487564 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0687 أ-35583675 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0737 أ-37563942 EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0805 أ-37237701 EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0738 ا-37563371 [ 2 ] بطاقة تعريف معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0739 أ-37712181 بطاقة تعريف معتدل 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

05-08-2017 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2017-08-05. يتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر عليه وتتضمن تفاصيل مثل CVE والمراجع المرتبطة ونوع الثغرة الأمنية وخطورتها والمكون (حيثما ينطبق ذلك) وإصدارات AOSP المحدثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نقوم بربط التغيير العام الذي تناول المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

مكونات برودكوم

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بأي امتيازات.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0740 ا-37168488 *
ب-رب #116402
آر سي إي معتدل سائق الشبكات

مكونات النواة

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-10661 أ-36266767
نواة المنبع
EOP عالي نظام الملفات
CVE-2017-0750 أ-36817013 * EOP معتدل نظام الملفات
CVE-2017-10662 أ-36815012
نواة المنبع
EOP معتدل نظام الملفات
CVE-2017-10663 أ-36588520
نواة المنبع
EOP معتدل نظام الملفات
CVE-2017-0749 أ-36007735 * EOP معتدل نواة لينكس

مكونات ميدياتك

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0741 أ-32458601 *
م-ALPS03007523
EOP عالي سائق GPU
CVE-2017-0742 أ-36074857 *
م-ALPS03275524
EOP معتدل سائق الفيديو

مكونات كوالكوم

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0746 أ-35467471 *
مراقبة الجودة-CR#2029392
EOP معتدل سائق IPA
CVE-2017-0747 أ-32524214 *
مراقبة الجودة-CR#2044821
EOP معتدل مكون الملكية
CVE-2017-9678 أ-35258962 *
مراقبة الجودة-CR#2028228
EOP معتدل سائق الفيديو
CVE-2017-9691 أ-33842910 *
مراقبة الجودة-CR#1116560
EOP معتدل سائق MobiCore (تروستونيك)
CVE-2017-9684 أ-35136547 *
مراقبة الجودة-CR#2037524
EOP معتدل مشغل يو اس بي
CVE-2017-9682 ا-36491445 *
مراقبة الجودة-CR#2030434
بطاقة تعريف معتدل سائق GPU

تحديثات جهاز جوجل

يحتوي هذا الجدول على مستوى تصحيح الأمان في آخر تحديث عبر الهواء (OTA) وصور البرامج الثابتة لأجهزة Google. تتوفر صور البرامج الثابتة لجهاز Google على موقع Google Developer .

جهاز جوجل مستوى التصحيح الأمني
بكسل / بكسل XL 05 أغسطس 2017
نيكزس 5X 05 أغسطس 2017
نيكزس 6 05 أغسطس 2017
نيكزس 6P 05 أغسطس 2017
نيكزس 9 05 أغسطس 2017
مشغل نيكزس 05 أغسطس 2017
بكسل سي 05 أغسطس 2017

تحتوي تحديثات أجهزة Google أيضًا على تصحيحات لهذه الثغرات الأمنية، إن أمكن:

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0744 أ-34112726 *
N-CVE-2017-0744
EOP قليل سائق الصوت
CVE-2017-9679 أ-35644510 *
مراقبة الجودة-CR#2029409
بطاقة تعريف قليل سائق شركة نفط الجنوب
CVE-2017-9680 أ-35764241 *
مراقبة الجودة-CR#2030137
بطاقة تعريف قليل سائق شركة نفط الجنوب
CVE-2017-0748 أ-35764875 *
مراقبة الجودة-CR#2029798
بطاقة تعريف قليل برنامج تشغيل الصوت
CVE-2017-9681 أ-36386593 *
مراقبة الجودة-CR#2030426
بطاقة تعريف قليل سائق الراديو
CVE-2017-9693 أ-36817798 *
مراقبة الجودة-CR#2044820
بطاقة تعريف قليل سائق الشبكات
CVE-2017-9694 ا-36818198 *
مراقبة الجودة-CR#2045470
بطاقة تعريف قليل سائق الشبكات
CVE-2017-0751 ا-36591162 *
مراقبة الجودة-CR#2045061
EOP قليل سائق QCE
CVE-2017-9692 ا-36731152 *
مراقبة الجودة-CR#2021707
دوس قليل سائق الرسومات

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

مكافحة التطرف العنيف الباحثون
CVE-2017-0741، CVE-2017-0742، CVE-2017-0751 Baozeng Ding ( @sploving )، وChengming Yang، وYang Song من Alibaba Mobile Security Group
CVE-2017-9682 بيلي لاو من Android Security
CVE-2017-0739 داتشنغ شاو ، وهونغلي هان ( @HexB1n )، ومينغجيان تشو ( @Mingjian_Zhou )، وزوكسيان جيانغ من فريق C0RE
CVE-2017-9691، CVE-2017-0744 Gengjia Chen ( @chengjia4574 ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd.
CVE-2017-0727 Guang Gong (龚广) ( @oldfresher ) من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd.
CVE-2017-0737 هانشيانغ وين ، ومينغجيان تشو ( @Mingjian_Zhou )، وشوكسيان جيانغ من فريق C0RE
CVE-2017-0748 Hao Chen وGuang Gong من فريق Alpha التابع لشركة Qihoo 360 Technology Co. Ltd.
CVE-2017-0731 هونغلي هان ( @HexB1n )، ومينغجيان تشو ( @Mingjian_Zhou )، وشوكسيان جيانغ من فريق C0RE
CVE-2017-9679 ناثان كراندال ( @natecray ) من فريق أمان المنتجات في Tesla
CVE-2017-0726 نيكي1235 ( @jiych_guru )
CVE-2017-9684، CVE-2017-9694، CVE-2017-9693، CVE-2017-9681، CVE-2017-0738، CVE-2017-0728 Pengfei Ding (丁鹏飞)، Chenfu Bao (包沉浮)، وLenx Wei (韦韬) من Baidu X-Lab (百度安全实验室)
CVE-2017-9680، CVE-2017-0740 سكوت باور ( @ScottyBauer1 )
CVE-2017-0724 سيفين شين ( @lingtongshen ) من TrendMicro
CVE-2017-0732، CVE-2017-0805 تيموثي بيكر من شركة CSS Inc.
CVE-2017-10661 تونغ لين ( segfault5514@gmail.com )، ويوان تسونغ لو ( computernik@gmail.com )، وXuxian Jiang من فريق C0RE
CVE-2017-0712 فاليريو كوستاماجنا ( vaio_co ) وماركو بارتولي ( @wsxarcher )
CVE-2017-0716 فاسيلي فاسيلييف
CVE-2017-0750، CVE-2017-0713، CVE-2017-0715، CVE-2017-10662CVE-2017-10663 VEO ( @VYSEa ) من فريق الاستجابة للتهديدات المتنقلة ، Trend Micro
CVE-2017-9678 يان تشو من فريق Eagleye، SCC، هواوي
CVE-2017-0749، CVE-2017-0746 Yonggang Guo ( @guoygang ) من IceSword Lab، Qihoo 360 Technology Co. Ltd.
CVE-2017-0729 يونغكي وانغ من مختبر Xuanwu التابع لشركة Tencent
CVE-2017-0714، CVE-2017-0719، CVE-2017-0718، CVE-2017-0722، CVE-2017-0725، CVE-2017-0720، CVE-2017-0745 زينو هان من مركز الاستجابة الأمنية في تشنغدو، شركة Qihoo 360 Technology Co. Ltd.

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .

  • تعالج مستويات تصحيح الأمان 01-08-2017 أو الإصدارات الأحدث كافة المشكلات المرتبطة بمستوى تصحيح الأمان 01-08-2017.
  • تتناول مستويات تصحيح الأمان 05-08-2017 أو الإصدارات الأحدث كافة المشكلات المرتبطة بمستوى تصحيح الأمان 05-08-2017 وجميع مستويات التصحيح السابقة.

يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]:[2017-08-01]
  • [ro.build.version.security_patch]:[2017-08-05]

2. لماذا تحتوي هذه النشرة على مستويين من التصحيح الأمني؟

تحتوي هذه النشرة على مستويين من التصحيح الأمني ​​بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.

  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 01 أغسطس 2017 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 05 أغسطس 2017 أو الأحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).

يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.

3. ماذا تعني الإدخالات الموجودة في عمود النوع ؟

تشير الإدخالات الموجودة في عمود النوع في جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.

اختصار تعريف
آر سي إي تنفيذ التعليمات البرمجية عن بعد
EOP ارتفاع الامتياز
بطاقة تعريف الإفصاح عن المعلومات
دوس الحرمان من الخدمة
لا يوجد التصنيف غير متوفر

4. ماذا تعني الإدخالات الموجودة في عمود "المراجع" ؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية.

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

5. ماذا تعني العلامة * الموجودة بجوار معرّف خطأ Android في عمود "المراجع" ؟

تحتوي المشكلات غير المتاحة للعامة على علامة * بجوار معرف خطأ Android في عمود المراجع . يتم تضمين التحديث الخاص بهذه المشكلة عمومًا في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

الإصدارات

إصدار تاريخ ملحوظات
1.0 7 أغسطس 2017 تم نشر النشرة .
1.1 8 أغسطس 2017 تمت مراجعة النشرة لتشمل روابط وإقرارات AOSP.
1.2 14 أغسطس 2017 تمت مراجعة النشرة لإضافة CVE-2017-0687.
1.2 23 أغسطس 2017 تمت مراجعة النشرة لإضافة CVE-2017-0805.