نشرة أمان Android — سبتمبر 2017

تم النشر في 5 سبتمبر 2017 | تم التحديث في 5 أكتوبر 2017

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. تتناول مستويات التصحيح الأمني ​​بتاريخ 05 سبتمبر 2017 أو الإصدارات الأحدث جميع هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة منذ شهر على الأقل. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات في مستودع Android Open Source Project (AOSP) وتم ربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هو وجود ثغرة أمنية بالغة الخطورة في إطار الوسائط والتي قد تمكن مهاجمًا عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أنه تم إيقاف تشغيل عمليات تخفيف النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف Android وGoogle Play Protect للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وGoogle Play Protect، مما يعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

ملاحظة: تتوفر معلومات حول آخر تحديث عبر الهواء (OTA) وصور البرامج الثابتة لأجهزة Google في قسم تحديثات أجهزة Google .

الإعلانات

  • تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/09/2017 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أن كافة المشكلات المرتبطة بتاريخ 01/09/2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة) قد تمت معالجتها.
    • 05/09/2017 : أكمل سلسلة مستوى التصحيح الأمني. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 01/09/2017 و05/09/2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).

عمليات تخفيف خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل Google Play Protect . تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق أمان Android بمراقبة إساءة الاستخدام بشكل نشط من خلال Google Play Protect ويحذر المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين Google Play Protect افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت تطبيقات من خارج Google Play.

01-09-2017 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-09-2017. يتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر عليه. يوجد وصف للمشكلة وجدول يتضمن CVE والمراجع المرتبطة ونوع الثغرة الأمنية وخطورتها وإصدارات AOSP المحدثة (حيثما أمكن). عندما يكون ذلك متاحًا، نقوم بربط التغيير العام الذي تناول المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

نطاق

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تجاوز متطلبات تفاعل المستخدم من أجل الوصول إلى أذونات إضافية.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0752 ا-62196835 [ 2 ] EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

المكتبات

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بأي امتيازات.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0753 أ-62218744 آر سي إي عالي 7.1.1، 7.1.2، 8.0
CVE-2017-6983 أ-63852675 آر سي إي عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0755 أ-32178311 EOP عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0

الإطار الإعلامي

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0756 أ-34621073 آر سي إي شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0757 أ-36006815 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0758 أ-36492741 آر سي إي شديد الأهمية 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0759 أ-36715268 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0760 أ-37237396 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0761 أ-38448381 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0762 أ-62214264 آر سي إي شديد الأهمية 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0763 أ-62534693 آر سي إي شديد الأهمية 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0764 أ-62872015 آر سي إي شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0765 أ-62872863 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0766 أ-37776688 آر سي إي عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0767 ا-37536407 [ 2 ] EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0768 أ-62019992 EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0769 أ-37662122 EOP عالي 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0770 أ-38234812 EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0771 أ-37624243 دوس عالي 7.0، 7.1.1، 7.1.2
CVE-2017-0772 أ-38115076 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0773 أ-37615911 دوس عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0774 ا-62673844 [ 2 ] دوس عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0775 أ-62673179 دوس عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0776 أ-38496660 بطاقة تعريف معتدل 7.0، 7.1.1، 7.1.2، 8.0
دوس عالي 6.0.1
CVE-2017-0777 أ-38342499 بطاقة تعريف معتدل 7.0، 7.1.1، 7.1.2
دوس عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1
CVE-2017-0778 أ-62133227 بطاقة تعريف معتدل 7.0، 7.1.1، 7.1.2
دوس عالي 5.0.2، 5.1.1، 6.0، 6.0.1
CVE-2017-0779 ا-38340117 [ 2 ] بطاقة تعريف معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

مدة العرض

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم بعيد يستخدم ملفًا معدًا خصيصًا للتسبب في تعليق التطبيق.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0780 أ-37742976 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0

نظام

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم قريب من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0781 ا-63146105 [ 2 ] آر سي إي شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0782 ا-63146237 [ 2 ] [ 3 ] آر سي إي شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0783 أ-63145701 بطاقة تعريف عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0
CVE-2017-0784 أ-37287958 EOP معتدل 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0785 أ-63146698 بطاقة تعريف معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2، 8.0

05/09/2017 مستوى تصحيح الأمان - تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2017-09-05. يتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر عليه وتتضمن تفاصيل مثل CVE والمراجع المرتبطة ونوع الثغرة الأمنية وخطورتها والمكون (حيثما ينطبق ذلك) وإصدارات AOSP المحدثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نقوم بربط التغيير العام الذي تناول المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

مكونات برودكوم

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم قريب باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-11120 أ-62575409 *
ب-V2017061204
آر سي إي شديد الأهمية سائق واي فاي
CVE-2017-11121 أ-62576413 *
ب-V2017061205
آر سي إي شديد الأهمية سائق واي فاي
CVE-2017-7065 أ-62575138 *
ب-V2017061202
آر سي إي شديد الأهمية سائق واي فاي
CVE-2017-0786 أ-37351060 *
ب-V2017060101
EOP عالي سائق واي فاي
CVE-2017-0787 أ-37722970 *
ب-V2017053104
EOP معتدل سائق واي فاي
CVE-2017-0788 أ-37722328 *
ب-V2017053103
EOP معتدل سائق واي فاي
CVE-2017-0789 أ-37685267 *
ب-V2017053102
EOP معتدل سائق واي فاي
CVE-2017-0790 أ-37357704 *
ب-V2017053101
EOP معتدل سائق واي فاي
CVE-2017-0791 أ-37306719 *
ب-V2017052302
EOP معتدل سائق واي فاي
CVE-2017-0792 أ-37305578 *
ب-V2017052301
بطاقة تعريف معتدل سائق واي فاي

مكونات إمجتك

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0793 أ-35764946 * بطاقة تعريف عالي النظام الفرعي للذاكرة

مكونات النواة

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-8890 أ-38413975
نواة المنبع
آر سي إي شديد الأهمية النظام الفرعي للشبكات
CVE-2017-9076 أ-62299478
نواة المنبع
EOP عالي النظام الفرعي للشبكات
CVE-2017-9150 أ-62199770
نواة المنبع
بطاقة تعريف عالي نواة لينكس
CVE-2017-7487 أ-62070688
نواة المنبع
EOP عالي برنامج تشغيل بروتوكول IPX
CVE-2017-6214 أ-37901268
نواة المنبع
دوس عالي النظام الفرعي للشبكات
CVE-2017-6346 أ-37897645
نواة المنبع
EOP عالي نواة لينكس
CVE-2017-5897 أ-37871211
نواة المنبع
بطاقة تعريف عالي النظام الفرعي للشبكات
CVE-2017-7495 أ-62198330
نواة المنبع
بطاقة تعريف عالي نظام الملفات
CVE-2017-7616 أ-37751399
نواة المنبع
بطاقة تعريف معتدل نواة لينكس
CVE-2017-12146 أ-35676417
نواة المنبع
EOP معتدل نواة لينكس
CVE-2017-0794 أ-35644812 * EOP معتدل سائق SCSI

مكونات ميدياتك

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0795 أ-36198473 *
م-ALPS03361480
EOP عالي سائق كاشف الملحقات
CVE-2017-0796 أ-62458865 *
م-ALPS03353884
م-ALPS03353886
م-ALPS03353887
EOP عالي سائق أوكسادك
CVE-2017-0797 أ-62459766 *
م-ALPS03353854
EOP عالي سائق كاشف الملحقات
CVE-2017-0798 أ-36100671 *
م-ALPS03365532
EOP عالي نواة
CVE-2017-0799 ا-36731602 *
م-ALPS03342072
EOP عالي لاستبوس
CVE-2017-0800 أ-37683975 *
م-ALPS03302988
EOP عالي تي اي
CVE-2017-0801 أ-38447970 *
م-ALPS03337980
EOP عالي LibMtkOmxVdec
CVE-2017-0802 أ-36232120 *
م-ALPS03384818
EOP معتدل نواة
CVE-2017-0803 أ-36136137 *
م-ALPS03361477
EOP معتدل سائق كاشف الملحقات
CVE-2017-0804 أ-36274676 *
م-ALPS03361487
EOP معتدل سائق MMC

مكونات كوالكوم

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-11041 أ-36130225 *
مراقبة الجودة-CR#2053101
آر سي إي شديد الأهمية LibOmxVenc
CVE-2017-10996 أ-38198574
مراقبة الجودة-CR#901529
بطاقة تعريف عالي نواة لينكس
CVE-2017-9725 أ-38195738
مراقبة الجودة-CR#896659
EOP عالي النظام الفرعي للذاكرة
CVE-2017-9724 أ-38196929
مراقبة الجودة-CR#863303
EOP عالي نواة لينكس
CVE-2017-8278 أ-62379474
مراقبة الجودة-CR#2013236
EOP عالي برنامج تشغيل الصوت
CVE-2017-10999 أ-36490777 *
مراقبة الجودة-CR#2010713
EOP معتدل سائق IPA
CVE-2017-11001 أ-36815555 *
مراقبة الجودة-CR#2051433
بطاقة تعريف معتدل سائق واي فاي
CVE-2017-11002 أ-37712167 *
مراقبة الجودة-CR#2058452 مراقبة الجودة-CR#2054690 مراقبة الجودة-CR#2058455
بطاقة تعريف معتدل سائق واي فاي
CVE-2017-8250 أ-62379051
مراقبة الجودة-CR#2003924
EOP معتدل سائق GPU
CVE-2017-9677 أ-62379475
مراقبة الجودة-CR#2022953
EOP معتدل برنامج تشغيل الصوت
CVE-2017-10998 أ-38195131
مراقبة الجودة-CR#108461
EOP معتدل برنامج تشغيل الصوت
CVE-2017-9676 أ-62378596
مراقبة الجودة-CR#2016517
بطاقة تعريف معتدل نظام الملفات
CVE-2017-8280 أ-62377236
مراقبة الجودة-CR#2015858
EOP معتدل سائق الشبكة المحلية اللاسلكية
CVE-2017-8251 أ-62379525
مراقبة الجودة-CR#2006015
EOP معتدل سائق الكاميرا
CVE-2017-10997 أ-33039685 *
مراقبة الجودة-CR#1103077
EOP معتدل سائق PCI
CVE-2017-11000 أ-36136563 *
مراقبة الجودة-CR#2031677
EOP معتدل سائق الكاميرا
CVE-2017-8247 أ-62378684
مراقبة الجودة-CR#2023513
EOP معتدل سائق الكاميرا
CVE-2017-9720 ا-36264696 *
مراقبة الجودة-CR#2041066
EOP معتدل سائق الكاميرا
CVE-2017-8277 أ-62378788
مراقبة الجودة-CR#2009047
EOP معتدل سائق الفيديو
CVE-2017-8281 أ-62378232
مراقبة الجودة-CR#2015892
بطاقة تعريف معتدل الوسائط المتعددة للسيارات
CVE-2017-11040 أ-37567102 *
مراقبة الجودة-CR#2038166
بطاقة تعريف معتدل سائق الفيديو

تحديثات جهاز جوجل

يحتوي هذا الجدول على مستوى تصحيح الأمان في آخر تحديث عبر الهواء (OTA) وصور البرامج الثابتة لأجهزة Google. قد تحتوي أيضًا وكالات السفر عبر الإنترنت لجهاز Google على تحديثات إضافية. تتوفر صور البرامج الثابتة لجهاز Google على موقع Google Developer .

جهاز جوجل مستوى التصحيح الأمني
بكسل / بكسل XL 2017-09-05
نيكزس 5X 2017-09-05
نيكزس 6 2017-09-05
نيكزس 6P 2017-09-05
نيكزس 9 2017-09-05
مشغل نيكزس 2017-09-05
بكسل سي 2017-09-05

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

مكافحة التطرف العنيف الباحثون
CVE-2017-11000 Baozeng Ding ( @sploving )، وChengming Yang، وYang Song من Alibaba Mobile Security Group
CVE-2017-0781، CVE-2017-0782، CVE-2017-0783، CVE-2017-0785 بن سيري وجريجوري فيشنيبولسكي من شركة Armis, Inc. ( https://armis.com )
CVE-2017-0800، CVE-2017-0798 Chengming Yang وBaozeng Ding وYang Song من مجموعة Alibaba Mobile Security Group
CVE-2017-0765 تشي تشانغ ، ومينغجيان تشو ( @Mingjian_Zhou )، وشوكسيان جيانغ من فريق C0RE
CVE-2017-0758 Chong Wang و金哲 (Zhe Jin) من مركز الاستجابة الأمنية في تشنغدو، شركة Qihoo 360 Technology Co. Ltd.
CVE-2017-0752 كونغ تشنغ ( @shellcong )، ووينجون هو، وشياو تشانغ، وزهي شو من شركة Palo Alto Networks
CVE-2017-0801 داتشنغ شاو ، ومينغجيان تشو ( Mingjian_Zhou )، وشوكسيان جيانغ من فريق C0RE
CVE-2017-0755 Dawei Peng من فريق Alibaba Mobile Security ( weibo: Vinc3nt4H )
CVE-2017-0775، CVE-2017-0774، CVE-2017-0771 Elphet وGong Guang من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd.
CVE-2017-0784 En He ( @heeeeen4x ) وBo Liu من MS509Team
CVE-2017-10997 Gengjia Chen ( @chengjia4574 ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd.
CVE-2017-0786، CVE-2017-0792، CVE-2017-0791، CVE-2017-0790، CVE-2017-0789، CVE-2017-0788، CVE-2017-0787 Hao Chen وGuang Gong من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd.
CVE-2017-0802 جيك كورينا ( @JakeCorina ) من فريق Shellphish Grill
CVE-2017-0780 جيسون جو وسيفن شين من تريند مايكرو
CVE-2017-0769 Mingjian Zhou ( @Mingjian_Zhou )، و Dacheng Shao ، وXuxian Jiang من فريق C0RE
CVE-2017-0794، CVE-2017-9720، CVE-2017-11001، CVE-2017-10999، CVE-2017-0766 Pengfei Ding (丁鹏飞)، Chenfu Bao (包沉浮)، Lenx Wei (韦韬) من Baidu X-Lab (百度安全实验室)
CVE-2017-0772 سيفين شين من تريند مايكرو
CVE-2017-0757 فاسيلي فاسيلييف
CVE-2017-0768، CVE-2017-0779 Wenke Dou ، وMingjian Zhou ( @Mingjian_Zhou )، وXuxian Jiang من فريق C0RE
CVE-2017-0759 ويتشاو صن من شركة علي بابا
CVE-2017-0796 Xiangqian Zhang، وChengming Yang، وBaozeng Ding، وYang Song من مجموعة Alibaba Mobile Security Group
CVE-2017-0753 Yangkang ( @dnpushme ) وhujianfei من فريق Qihoo360 Qex
CVE-2017-12146 Yonggang Guo ( @guoygang ) من IceSword Lab، Qihoo 360 Technology Co. Ltd.
CVE-2017-0767 Yongke Wang وYuebin Sun من Tencent’s Xuanwu Lab
CVE-2017-0804، CVE-2017-0803، CVE-2017-0799، CVE-2017-0795 يو بان ويانغ داي من فريق Vulpecker، شركة Qihoo 360 Technology Co. Ltd
CVE-2017-0760 Zinuo Han و金哲 (Zhe Jin) من مركز الاستجابة الأمنية في تشنغدو، شركة Qihoo 360 Technology Co. Ltd.
CVE-2017-0764، CVE-2017-0761، CVE-2017-0776، CVE-2017-0777، CVE-2017-0778 زينو هان من مركز الاستجابة الأمنية في تشنغدو، شركة Qihoo 360 Technology Co. Ltd.

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .

  • تعالج مستويات تصحيح الأمان 01-09-2017 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 01-09-2017.
  • تتناول مستويات تصحيح الأمان 05-09-2017 أو الإصدارات الأحدث كافة المشكلات المرتبطة بمستوى تصحيح الأمان 05-09-2017 وجميع مستويات التصحيح السابقة.

يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]:[2017-09-01]
  • [ro.build.version.security_patch]:[2017/09/05]

2. لماذا تحتوي هذه النشرة على مستويين من التصحيح الأمني؟

تحتوي هذه النشرة على مستويين من التصحيح الأمني ​​بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.

  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان 01-09-2017 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان 2017-09-05 أو الأحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).

يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.

3. ماذا تعني الإدخالات الموجودة في عمود النوع ؟

تشير الإدخالات الموجودة في عمود النوع في جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.

اختصار تعريف
آر سي إي تنفيذ التعليمات البرمجية عن بعد
EOP ارتفاع الامتياز
بطاقة تعريف الإفصاح عن المعلومات
دوس الحرمان من الخدمة
لا يوجد التصنيف غير متوفر

4. ماذا تعني الإدخالات الموجودة في عمود "المراجع" ؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية.

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

5. ماذا تعني العلامة * الموجودة بجوار معرّف خطأ Android في عمود "المراجع" ؟

تحتوي المشكلات غير المتاحة للعامة على علامة * بجوار معرف خطأ Android في عمود المراجع . يتم تضمين التحديث الخاص بهذه المشكلة عمومًا في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

الإصدارات

إصدار تاريخ ملحوظات
1.0 5 سبتمبر 2017 تم نشر النشرة .
1.1 12 سبتمبر 2017 تمت إضافة تفاصيل لـ CVE-2017-0781 وCVE-2017-0782 وCVE-2017-0783 وCVE-2017-0785 كجزء من الكشف المنسق حسب الصناعة.
1.2 13 سبتمبر 2017 تمت مراجعة النشرة لتشمل روابط AOSP.
1.3 25 سبتمبر 2017 تمت إضافة تفاصيل لـ CVE-2017-11120 وCVE-2017-11121 كجزء من الكشف المنسق حسب الصناعة.
1.4 28 سبتمبر 2017 قم بتحديث مرجع البائع لـ CVE-2017-11001.