نشرة أمان Android - سبتمبر 2017

تنظيم صفحاتك في مجموعات يمكنك حفظ المحتوى وتصنيفه حسب إعداداتك المفضّلة.

تم النشر في 5 سبتمبر 2017 | تم التحديث في 5 أكتوبر 2017

تحتوي نشرة أمان Android على تفاصيل عن الثغرات الأمنية التي تؤثر على أجهزة Android. مستويات تصحيح الأمان بتاريخ 05 سبتمبر 2017 أو ما بعده تعالج كل هذه المشكلات. راجع الجدول الزمني لتحديث Pixel و Nexus للتعرف على كيفية التحقق من مستوى تصحيح أمان الجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة قبل شهر على الأقل. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP) وربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.

إن أخطر هذه المشكلات هو وجود ثغرة خطيرة في إطار عمل الوسائط والتي يمكن أن تمكن مهاجمًا عن بُعد باستخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض إيقاف تشغيل عمليات تخفيف النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم تخفيف Android و Google Play Protect للحصول على تفاصيل حول حماية نظام أمان Android و Google Play Protect ، والتي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

ملاحظة: تتوفر معلومات حول آخر تحديث عبر الأثير (OTA) وصور البرامج الثابتة لأجهزة Google في قسم تحديثات جهاز Google .

الإعلانات

  • تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بشكل أسرع. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01-09-2017 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2017-09-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 2017-09-05 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2017-09-01 و2017-09-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).

عمليات التخفيف من خدمة Android و Google

هذا ملخص لعمليات التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل Google Play Protect . تقلل هذه القدرات من احتمالية نجاح استغلال الثغرات الأمنية على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق أمان Android بمراقبة إساءة الاستخدام بنشاط من خلال Google Play Protect ويحذر المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين Google Play Protect افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play.

مستوى تصحيح الأمان 2017-09-01 - تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح 2017-09-01. يتم تجميع الثغرات الأمنية تحت المكون الذي تؤثر عليه. يوجد وصف للمشكلة وجدول مع CVE والمراجع المرتبطة بها ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المحدثة (حيثما ينطبق ذلك). عند توفرها ، نربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

نطاق

قد تؤدي أخطر ثغرة في هذا القسم إلى تمكين تطبيق ضار محلي من تجاوز متطلبات تفاعل المستخدم من أجل الوصول إلى أذونات إضافية.

CVE مراجع يكتب خطورة إصدارات AOSP المحدثة
CVE-2017-0752 A-62196835 [ 2 ] EoP عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2

مكتبات

يمكن أن تمكن الثغرة الأمنية الأكثر خطورة في هذا القسم مهاجمًا عن بُعد يستخدم ملفًا تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة.

CVE مراجع يكتب خطورة إصدارات AOSP المحدثة
CVE-2017-0753 A-62218744 RCE عالٍ 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-6983 A-63852675 RCE عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0755 A-32178311 EoP عالٍ 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0

الإطار الإعلامي

يمكن أن تمكن الثغرة الأمنية الأكثر خطورة في هذا القسم مهاجمًا عن بُعد يستخدم ملفًا تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات.

CVE مراجع يكتب خطورة إصدارات AOSP المحدثة
CVE-2017-0756 أ -34621073 RCE حرج 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0757 أ -36006815 RCE حرج 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0758 أ -36492741 RCE حرج 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0759 أ -36715268 RCE حرج 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0760 أ -37237396 RCE حرج 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0761 A-38448381 RCE حرج 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0762 A-62214264 RCE حرج 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0763 أ -62534693 RCE حرج 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0764 A-62872015 RCE حرج 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0765 A-62872863 RCE حرج 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0766 أ -37776688 RCE عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0767 A-37536407 [ 2 ] EoP عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0768 A-62019992 EoP عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0769 أ -37662122 EoP عالٍ 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0770 A-38234812 EoP عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0771 أ -37624243 DoS عالٍ 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0772 A-38115076 DoS عالٍ 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0773 أ -37615911 DoS عالٍ 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0774 A-62673844 [ 2 ] DoS عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0775 A-62673179 DoS عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0776 A-38496660 بطاقة تعريف معتدل 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
DoS عالٍ 6.0.1
CVE-2017-0777 A-38342499 بطاقة تعريف معتدل 7.0 ، 7.1.1 ، 7.1.2
DoS عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1
CVE-2017-0778 A-62133227 بطاقة تعريف معتدل 7.0 ، 7.1.1 ، 7.1.2
DoS عالٍ 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1
CVE-2017-0779 A-38340117 [ 2 ] بطاقة تعريف معتدل 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2

مدة العرض

قد تؤدي أخطر ثغرة أمنية في هذا القسم إلى تمكين مهاجم عن بُعد باستخدام ملف تم إنشاؤه خصيصًا لإيقاف أحد التطبيقات.

CVE مراجع يكتب خطورة إصدارات AOSP المحدثة
CVE-2017-0780 أ -37742976 DoS عالٍ 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0

نظام

يمكن أن تمكن الثغرة الأمنية الأكثر خطورة في هذا القسم مهاجمًا قريبًا من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات.

CVE مراجع يكتب خطورة إصدارات AOSP المحدثة
CVE-2017-0781 A-63146105 [ 2 ] RCE حرج 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0782 A-63146237 [ 2 ] [ 3 ] RCE حرج 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0783 A-63145701 بطاقة تعريف عالٍ 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0
CVE-2017-0784 أ -37287958 EoP معتدل 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2
CVE-2017-0785 A-63146698 بطاقة تعريف معتدل 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 ، 7.1.1 ، 7.1.2 ، 8.0

2017-09-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح 2017-09-05. يتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر عليه وتتضمن تفاصيل مثل CVE والمراجع المرتبطة ونوع الثغرة الأمنية والخطورة والمكون (عند الاقتضاء) وإصدارات AOSP المحدثة (عند الاقتضاء). عند توفرها ، نربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

مكونات Broadcom

يمكن أن تمكن الثغرة الأمنية الأكثر خطورة في هذا القسم مهاجمًا قريبًا من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات.

CVE مراجع يكتب خطورة مكون
CVE-2017-11120 A-62575409 *
ب- V2017061204
RCE حرج سائق واي فاي
CVE-2017-11121 A-62576413 *
ب- V2017061205
RCE حرج سائق واي فاي
CVE-2017-7065 A-62575138 *
ب- V2017061202
RCE حرج سائق واي فاي
CVE-2017-0786 A-37351060 *
ب- V2017060101
EoP عالٍ سائق واي فاي
CVE-2017-0787 A-37722970 *
ب- V2017053104
EoP معتدل سائق واي فاي
CVE-2017-0788 A-37722328 *
ب- V2017053103
EoP معتدل سائق واي فاي
CVE-2017-0789 A-37685267 *
ب- V2017053102
EoP معتدل سائق واي فاي
CVE-2017-0790 A-37357704 *
ب- V2017053101
EoP معتدل سائق واي فاي
CVE-2017-0791 A-37306719 *
ب- V2017052302
EoP معتدل سائق واي فاي
CVE-2017-0792 A-37305578 *
ب- V2017052301
بطاقة تعريف معتدل سائق واي فاي

مكونات Imgtk

قد تؤدي أخطر ثغرة أمنية في هذا القسم إلى تمكين تطبيق ضار محلي من الوصول إلى بيانات خارج مستويات الأذونات الخاصة به.

CVE مراجع يكتب خطورة مكون
CVE-2017-0793 A-35764946 * بطاقة تعريف عالٍ نظام الذاكرة الفرعي

مكونات النواة

يمكن أن تمكن الثغرة الأمنية الأكثر خطورة في هذا القسم مهاجمًا عن بُعد يستخدم ملفًا تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات.

CVE مراجع يكتب خطورة مكون
CVE-2017-8890 A-38413975
نواة المنبع
RCE حرج النظام الفرعي للشبكات
CVE-2017-9076 A-62299478
نواة المنبع
EoP عالٍ النظام الفرعي للشبكات
CVE-2017-9150 A-62199770
نواة المنبع
بطاقة تعريف عالٍ نواة لينكس
CVE-2017-7487 أ -62070688
نواة المنبع
EoP عالٍ برنامج تشغيل بروتوكول IPX
CVE-2017-6214 أ -37901268
نواة المنبع
DoS عالٍ النظام الفرعي للشبكات
CVE-2017-6346 أ -37897645
نواة المنبع
EoP عالٍ نواة لينكس
CVE-2017-5897 أ -37871211
نواة المنبع
بطاقة تعريف عالٍ النظام الفرعي للشبكات
CVE-2017-7495 A-62198330
نواة المنبع
بطاقة تعريف عالٍ نظام الملفات
CVE-2017-7616 أ -37751399
نواة المنبع
بطاقة تعريف معتدل نواة لينكس
CVE-2017-12146 A-35676417
نواة المنبع
EoP معتدل نواة لينكس
CVE-2017-0794 A-35644812 * EoP معتدل سائق SCSI

مكونات ميديا ​​تيك

قد تمكن أخطر ثغرة في هذا القسم تطبيقًا ضارًا محليًا من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات.

CVE مراجع يكتب خطورة مكون
CVE-2017-0795 A-36198473 *
M-ALPS03361480
EoP عالٍ سائق كاشف الملحقات
CVE-2017-0796 A-62458865 *
M- ألبس 03353884
M- ألبس 03353886
M- ألبس 03353887
EoP عالٍ سائق AUXADC
CVE-2017-0797 A-62459766 *
M- ألبس 03353854
EoP عالٍ سائق كاشف الملحقات
CVE-2017-0798 A-36100671 *
M- ألبس 03365532
EoP عالٍ نواة
CVE-2017-0799 A-36731602 *
M-ALPS03342072
EoP عالٍ Lastbus
CVE-2017-0800 A-37683975 *
M- ألبس 03302988
EoP عالٍ TEEI
CVE-2017-0801 A-38447970 *
M-ALPS03337980
EoP عالٍ LibMtkOmxVdec
CVE-2017-0802 A-36232120 *
M- ألبس 03384818
EoP معتدل نواة
CVE-2017-0803 A-36136137 *
M- ألبس 03361477
EoP معتدل سائق كاشف الملحقات
CVE-2017-0804 A-36274676 *
M-ALPS03361487
EoP معتدل سائق MMC

مكونات كوالكوم

يمكن أن تمكن الثغرة الأمنية الأكثر خطورة في هذا القسم مهاجمًا عن بُعد يستخدم ملفًا تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات.

CVE مراجع يكتب خطورة مكون
CVE-2017-11041 A-36130225 *
QC-CR # 2053101
RCE حرج ليبومكسفينك
CVE-2017-10996 A-38198574
QC-CR # 901529
بطاقة تعريف عالٍ نواة لينكس
CVE-2017-9725 A-38195738
QC-CR # 896659
EoP عالٍ نظام الذاكرة الفرعي
CVE-2017-9724 A-38196929
QC-CR # 863303
EoP عالٍ نواة لينكس
CVE-2017-8278 A-62379474
QC-CR # 2013236
EoP عالٍ سائق الصوت
CVE-2017-10999 A-36490777 *
QC-CR # 2010713
EoP معتدل سائق IPA
CVE-2017-11001 A-36815555 *
QC-CR # 2051433
بطاقة تعريف معتدل سائق واي فاي
CVE-2017-11002 A-37712167 *
QC-CR # 2058452 QC-CR # 2054690 QC-CR # 2058455
بطاقة تعريف معتدل سائق واي فاي
CVE-2017-8250 A-62379051
QC-CR # 2003924
EoP معتدل سائق GPU
CVE-2017-9677 A-62379475
QC-CR # 2022953
EoP معتدل سائق الصوت
CVE-2017-10998 A-38195131
QC-CR # 108461
EoP معتدل سائق الصوت
CVE-2017-9676 A-62378596
QC-CR # 2016517
بطاقة تعريف معتدل نظام الملفات
CVE-2017-8280 أ -62377236
QC-CR # 2015858
EoP معتدل سائق WLAN
CVE-2017-8251 A-62379525
QC-CR # 2006015
EoP معتدل سائق الكاميرا
CVE-2017-10997 A-33039685 *
QC-CR # 1103077
EoP معتدل سائق PCI
CVE-2017-11000 A-36136563 *
QC-CR # 2031677
EoP معتدل سائق الكاميرا
CVE-2017-8247 A-62378684
QC-CR # 2023513
EoP معتدل سائق الكاميرا
CVE-2017-9720 A-36264696 *
QC-CR # 2041066
EoP معتدل سائق الكاميرا
CVE-2017-8277 A-62378788
QC-CR # 2009047
EoP معتدل سائق فيديو
CVE-2017-8281 A-62378232
QC-CR # 2015892
بطاقة تعريف معتدل الوسائط المتعددة للسيارات
CVE-2017-11040 A-37567102 *
QC-CR # 2038166
بطاقة تعريف معتدل سائق فيديو

تحديثات جهاز Google

يحتوي هذا الجدول على مستوى تصحيح الأمان في آخر تحديث عبر الهواء (OTA) وصور البرامج الثابتة لأجهزة Google. قد يحتوي جهاز Google OTAs أيضًا على تحديثات إضافية. تتوفر صور البرامج الثابتة لجهاز Google على موقع Google Developer .

جهاز جوجل مستوى تصحيح الأمان
Pixel / Pixel XL 2017-09-05
جهاز Nexus 5X 2017-09-05
جهاز Nexus 6 2017-09-05
Nexus 6P 2017-09-05
نيكزس 9 2017-09-05
نيكزس بلاير 2017-09-05
بكسل سي 2017-09-05

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

CVEs الباحثون
CVE-2017-11000 Baozeng Ding ( sploving ) و Chengming Yang و Yang Song من مجموعة Alibaba Mobile Security Group
CVE-2017-0781، CVE-2017-0782، CVE-2017-0783، CVE-2017-0785 Ben Seri and Gregory Vishnepolsky of Armis، Inc. ( https://armis.com )
CVE-2017-0800 ، CVE-2017-0798 Chengming Yang و Baozeng Ding و Yang Song من مجموعة Alibaba Mobile Security Group
CVE-2017-0765 تشي زانغ ، مينجيان زو (Mingjian_Zhou) ، وشوشيان جيانغ من فريق C0RE
CVE-2017-0758 Chong Wang و 金 哲 (Zhe Jin) من مركز Chengdu Security Response Center ، Qihoo 360 Technology Co. Ltd.
CVE-2017-0752 Cong Zheng ( shellcong ) و Wenjun Hu و Xiao Zhang و Zhi Xu من Palo Alto Networks
CVE-2017-0801 Dacheng Shao و Mingjian Zhou (Mingjian_Zhou) و Xuxian Jiang من فريق C0RE
CVE-2017-0755 داوي بينغ من فريق Alibaba Mobile Security Team ( weibo: Vinc3nt4H )
CVE-2017-0775 ، CVE-2017-0774 ، CVE-2017-0771 Elphet و Gong Guang من Alpha Team ، Qihoo 360 Technology Co. Ltd.
CVE-2017-0784 En He ( @ heeeeen4x ) و Bo Liu من MS509Team
CVE-2017-10997 Gengjia Chen ( @ chengjia4574 ) و pjf من IceSword Lab ، Qihoo 360 Technology Co. Ltd.
CVE-2017-0786، CVE-2017-0792، CVE-2017-0791، CVE-2017-0790، CVE-2017-0789، CVE-2017-0788، CVE-2017-0787 Hao Chen و Guang Gong من Alpha Team ، Qihoo 360 Technology Co. Ltd.
CVE-2017-0802 جيك كورينا ( JakeCorina ) من فريق شلفيش جريل
CVE-2017-0780 جايسون جو و Seven Shen من Trend Micro
CVE-2017-0769 Mingjian Zhou ( Mingjian_Zhou ) و Dacheng Shao و Xuxian Jiang من فريق C0RE
CVE-2017-0794، CVE-2017-9720، CVE-2017-11001، CVE-2017-10999، CVE-2017-0766 Pengfei Ding (丁鹏飞) ، Chenfu Bao (包 沉浮) ، Lenx Wei (韦 韬) من Baidu X-Lab (百度 安全 实验室)
CVE-2017-0772 Seven Shen من Trend Micro
CVE-2017-0757 فاسيلي فاسيليف
CVE-2017-0768 ، CVE-2017-0779 Wenke Dou و Mingjian Zhou (Mingjian_Zhou) و Xuxian Jiang من فريق C0RE
CVE-2017-0759 Weichao Sun of Alibaba Inc.
CVE-2017-0796 Xiangqian Zhang و Chengming Yang و Baozeng Ding و Yang Song من مجموعة Alibaba Mobile Security Group
CVE-2017-0753 Yangkang ( dnpushme ) و hujianfei من فريق Qihoo360 Qex Team
CVE-2017-12146 Yonggang Guo ( guoygang ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd.
CVE-2017-0767 Yongke Wang و Yuebin Sun من مختبر Xuanwu في Tencent
CVE-2017-0804 ، CVE-2017-0803 ، CVE-2017-0799 ، CVE-2017-0795 Yu Pan و Yang Dai من فريق Vulpecker ، Qihoo 360 Technology Co. Ltd
CVE-2017-0760 Zinuo Han و 金 哲 (Zhe Jin) من مركز Chengdu Security Response Center ، Qihoo 360 Technology Co. Ltd.
CVE-2017-0764، CVE-2017-0761، CVE-2017-0776، CVE-2017-0777، CVE-2017-0778 Zinuo Han من مركز Chengdu Security Response Center ، Qihoo 360 Technology Co. Ltd.

أسئلة وأجوبة شائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا تم تحديث جهازي لمعالجة هذه المشكلات؟

لمعرفة كيفية التحقق من مستوى تصحيح الأمان لجهاز ما ، اقرأ التعليمات الواردة في جدول تحديث Pixel و Nexus .

  • تتناول مستويات تصحيح الأمان 2017-09-01 أو أحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2017-09-01.
  • تتناول مستويات تصحيح الأمان لعام 2017-09-05 أو أحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2017-09-05 وجميع مستويات التصحيح السابقة.

يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]: [2017-09-01]
  • [ro.build.version.security_patch]: [2017-09-05]

2. لماذا تحتوي هذه النشرة على مستويين من تصحيح الأمان؟

تحتوي هذه النشرة على مستويين من تصحيح الأمان بحيث يتمتع شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. يتم تشجيع شركاء Android على إصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من تصحيح الأمان.

  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان 2017-09-01 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا ، بالإضافة إلى إصلاحات لجميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان 2017-09-05 أو أحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).

يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.

3. ماذا تعني الإدخالات في عمود النوع ؟

تشير الإدخالات في عمود النوع في جدول تفاصيل الثغرات الأمنية إلى تصنيف الثغرة الأمنية.

اختصار تعريف
RCE تنفيذ التعليمات البرمجية عن بعد
EoP رفع الامتياز
بطاقة تعريف الإفصاح عن المعلومات
DoS الحرمان من الخدمة
غير متاح التصنيف غير متوفر

4. ماذا تعني الإدخالات في عمود المراجع ؟

قد تحتوي الإدخالات الموجودة ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية.

بادئة المرجعي
أ- معرف خطأ Android
QC- الرقم المرجعي لشركة Qualcomm
م- الرقم المرجعي MediaTek
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من Broadcom

5. ماذا يعني * بجوار معرف خطأ Android في عمود المراجع ؟

المشكلات غير المتاحة للجمهور بها علامة * بجوار معرف خطأ Android في عمود المراجع . يتم تضمين التحديث الخاص بهذه المشكلة بشكل عام في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

إصدارات

إصدار تاريخ ملحوظات
1.0 5 سبتمبر 2017 تم نشر النشرة.
1.1 12 سبتمبر 2017 التفاصيل المضافة لـ CVE-2017-0781 و CVE-2017-0782 و CVE-2017-0783 و CVE-2017-0785 كجزء من الكشف المنسق في الصناعة.
1.2 13 سبتمبر 2017 تمت مراجعة النشرة لتشمل روابط AOSP.
1.3 25 سبتمبر 2017 التفاصيل المضافة لـ CVE-2017-11120 و CVE-2017-11121 كجزء من الكشف المنسق عن الصناعة.
1.4 28 سبتمبر 2017 تحديث مرجع البائع ل CVE 2017-11001.