تاريخ النشر: 7 حزيران (يونيو) 2021 | تاريخ التعديل: 8 حزيران (يونيو) 2021
تحتوي "نشرة أمان Android" على تفاصيل الثغرات الأمنية التي تؤثر في أجهزة Android. تعالج مستويات رموز تصحيح الأمان بتاريخ 2021-06-05 أو الإصدارات الأحدث جميع هذه المشاكل. لمعرفة كيفية التحقّق من مستوى رمز تصحيح الأمان على جهاز، يمكنك الاطّلاع على المقالة التحقّق من إصدار Android وتحديثه.
يتم إعلام شركاء Android بجميع المشاكل قبل شهر واحد على الأقل من نشرها. تم إصدار تصحيحات لرمز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) وتم ربطها من هذا النشرة. يتضمّن هذا النشرة الإخبارية أيضًا روابط تؤدي إلى تصحيحات خارج AOSP.
أخطر هذه المشاكل هي ثغرة أمنية خطيرة في مكون النظام يمكن أن تتيح لمهاجم عن بُعد استخدام عملية نقل مصمَّمة خصيصًا لتنفيذ رمز عشوائي ضمن سياق عملية ذات امتيازات. يستند تقييم الخطورة إلى التأثير المحتمل لاستغلال الثغرة الأمنية على الجهاز المتأثر، وذلك بافتراض إيقاف إجراءات التخفيف من المخاطر في النظام الأساسي والخدمة لأغراض التطوير أو في حال تجاوزها بنجاح.
الإشعارات
- بالنسبة إلى شهر يوليو، سيتم إصدار نشرة أمان Android العامة في 7 يوليو 2021
راجِع قسم إجراءات التخفيف من المخاطر في Android و"Google Play للحماية" للتعرّف على تفاصيل إجراءات الحماية في منصة أمان Android و"Google Play للحماية"، والتي تعمل على تحسين أمان نظام Android الأساسي.
إجراءات التخفيف من المخاطر في Android وخدمات Google
في ما يلي ملخّص لإجراءات التخفيف التي توفّرها منصة أمان Android ووسائل الحماية التي توفّرها الخدمات، مثل Google Play للحماية. وتقلّل هذه الإمكانات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.
- تساهم التحسينات التي تم إجراؤها في الإصدارات الأحدث من نظام Android الأساسي في الحدّ من استغلال العديد من المشاكل على Android. ننصح جميع المستخدمين بالتحديث إلى أحدث إصدار من Android متى أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط حالات إساءة الاستخدام من خلال Google Play للحماية، ويحذّر المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة. يتم تفعيل خدمة "Google Play للحماية" تلقائيًا على الأجهزة التي تتضمّن خدمات Google للأجهزة الجوّالة، وهي مهمة بشكل خاص للمستخدمين الذين يثبّتون التطبيقات من خارج Google Play.
تفاصيل الثغرة الأمنية لمستوى رمز تصحيح الأمان بتاريخ 2021-06-01
في الأقسام أدناه، نقدّم تفاصيل حول كل الثغرات الأمنية التي تنطبق على مستوى تصحيح الأمان بتاريخ 2021-06-01. يتم تجميع الثغرات الأمنية ضمن المكوِّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والمراجع المرتبطة به ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). عند توفّر التغيير العلني الذي عالج المشكلة، نربطه بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلّق تغييرات متعدّدة بخطأ واحد، تتم إضافة مراجع إضافية إلى الأرقام التي تلي معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات الأمان بالإضافة إلى تحديثات نظام Google Play.
وقت تشغيل Android
يمكن أن تسمح الثغرة الأمنية في هذا القسم لمهاجم على الشبكة المحلية بتنفيذ رمز عشوائي وتجاوز متطلبات تفاعل المستخدم من أجل الحصول على أذونات إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2021-0511 | A-178055795 [2] [3] | EoP | مرتفع | 9 و10 و11 |
Framework
يمكن أن يؤدي الثغرة الأمنية في هذا القسم إلى الكشف عن معلومات محلية عن أذونات متعددة المستخدمين بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2021-0521 | A-174661955 | رقم التعريف | مرتفع | 8.1 و9 و10 و11 |
Media Framework
قد يؤدي أشد الثغرات الأمنية خطورةً في هذا القسم إلى السماح لتطبيق ضار على الجهاز بتجاوز متطلبات تفاعل المستخدم من أجل الحصول على أذونات إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2021-0508 | A-176444154 | EoP | مرتفع | 8.1 و9 و10 و11 |
| CVE-2021-0509 | A-176444161 [2] | EoP | مرتفع | 8.1 و9 و10 و11 |
| CVE-2021-0510 | A-176444622 | EoP | مرتفع | 8.1 و9 و10 و11 |
| CVE-2021-0520 | A-176237595 | EoP | مرتفع | 10 و11 |
النظام
يمكن أن تتيح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم عن بُعد استخدام عملية نقل مصمَّمة خصيصًا لتنفيذ رمز عشوائي ضمن سياق عملية ذات امتيازات.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2021-0507 | A-181860042 | RCE | مهم | 8.1 و9 و10 و11 |
| CVE-2021-0516 | A-181660448 | EoP | مهم | 8.1 و9 و10 و11 |
| CVE-2021-0505 | A-179975048 | EoP | مرتفع | 11 |
| CVE-2021-0506 | A-181962311 | EoP | مرتفع | 8.1 و9 و10 و11 |
| CVE-2021-0523 | A-174047492 | EoP | مرتفع | 10 و11 |
| CVE-2021-0504 | A-179162665 | رقم التعريف | مرتفع | 11 |
| CVE-2021-0517 | A-179053823 | رقم التعريف | مرتفع | 11 |
| CVE-2021-0522 | A-174182139 | رقم التعريف | مرتفع | 9 و10 و11 |
تحديثات نظام Google Play
لم يتم حلّ أي مشاكل متعلّقة بالأمان في تحديثات نظام Google Play (Project Mainline) لهذا الشهر.
تفاصيل الثغرة الأمنية لمستوى رمز تصحيح الأمان بتاريخ 2021-06-05
في الأقسام أدناه، نقدّم تفاصيل حول كل الثغرات الأمنية التي تنطبق على مستوى رمز تصحيح الأمان بتاريخ 2021-06-05. يتم تجميع الثغرات الأمنية ضمن المكوِّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والمراجع المرتبطة به ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). عند توفّر التغيير العلني الذي عالج المشكلة، نربطه بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلّق تغييرات متعدّدة بخطأ واحد، تتم إضافة مراجع إضافية إلى الأرقام التي تلي معرّف الخطأ.
Framework
يمكن أن يؤدي الثغرة الأمنية في هذا القسم إلى السماح لتطبيق محلي ضار بتجاوز متطلبات تفاعل المستخدم من أجل الحصول على أذونات إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2021-0513 | A-156090809 | EoP | مرتفع | 8.1 و9 و10 و11 |
النظام
يمكن أن تتيح الثغرة الأمنية الأكثر خطورة في هذا القسم لمهاجم عن بُعد استخدام عملية نقل مصمَّمة خصيصًا للوصول إلى أذونات إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2020-26555 | A-174626251 | EoP | مرتفع | 8.1 و9 و10 و11 |
| CVE-2020-26558 | A-174886838 | EoP | مرتفع | 8.1 و9 و10 و11 |
| CVE-2021-0478 | A-169255797 | EoP | مرتفع | 8.1 و9 و10 و11 |
مكوّنات النواة
يمكن أن يؤدي أشد الثغرات الأمنية خطورةً في هذا القسم إلى تصعيد امتيازات محلية بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2020-14305 | A-174904512
نواة المصدر |
EoP | مرتفع | بروتوكول الصوت على الإنترنت H.323 |
| CVE-2021-0512 | A-173843328
Upstream kernel |
EoP | مرتفع | جهاز واجهة بشرية (HID) |
مكوّنات MediaTek
تؤثّر هذه الثغرات الأمنية في مكونات MediaTek، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من MediaTek. تقدّم شركة MediaTek تقييمًا لمدى خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن |
|---|---|---|---|
| CVE-2021-0525 | A-185193929
M-ALPS05403499* |
مرتفع | برنامج تشغيل إدارة الذاكرة |
| CVE-2021-0526 | A-185195264
M-ALPS05403499* |
مرتفع | برنامج تشغيل إدارة الذاكرة |
| CVE-2021-0527 | A-185193931
M-ALPS05403499* |
مرتفع | برنامج تشغيل إدارة الذاكرة |
| CVE-2021-0528 | A-185195266
M-ALPS05403499 * |
مرتفع | برنامج تشغيل إدارة الذاكرة |
| CVE-2021-0529 | A-185195268
M-ALPS05403499* |
مرتفع | برنامج تشغيل إدارة الذاكرة |
| CVE-2021-0530 | A-185196175
M-ALPS05403499 * |
مرتفع | برنامج تشغيل إدارة الذاكرة |
| CVE-2021-0531 | A-185195272
M-ALPS05403499* |
مرتفع | برنامج تشغيل إدارة الذاكرة |
| CVE-2021-0532 | A-185196177
M-ALPS05403499* |
مرتفع | برنامج تشغيل إدارة الذاكرة |
| CVE-2021-0533 | A-185193932
M-ALPS05403499* |
مرتفع | برنامج تشغيل إدارة الذاكرة |
مكوّنات Qualcomm
تؤثر هذه الثغرة الأمنية في مكونات Qualcomm، ويتم وصفها بمزيد من التفصيل في نشرة أمان Qualcomm أو تنبيه الأمان المناسبَين. تقدّم شركة Qualcomm تقييم خطورة هذه المشكلة مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن |
|---|---|---|---|
| CVE-2020-11267 | A-168918351
QC-CR#2723768 [2] [3] |
مرتفع | الأمان |
مكوّنات Qualcomm المغلقة المصدر
تؤثّر هذه الثغرات الأمنية في مكوّنات Qualcomm ذات المصدر المغلق، ويمكن الاطّلاع على مزيد من التفاصيل في نشرة أمان Qualcomm أو تنبيه الأمان المناسبَين. وتقدّم شركة Qualcomm تقييمًا لمدى خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن |
|---|---|---|---|
| CVE-2020-11176 | A-175038159* | مهم | مكوّن مغلق المصدر |
| CVE-2020-11291 | A-175038624* | مهم | مكوّن مغلق المصدر |
| CVE-2020-26558 | A-179039983* | مهم | مكوّن مغلق المصدر |
| CVE-2020-11292 | A-171309888* | مرتفع | مكوّن مغلق المصدر |
| CVE-2020-11298 | A-175038385* | مرتفع | مكوّن مغلق المصدر |
| CVE-2020-11304 | A-167567084* | مرتفع | مكوّن مغلق المصدر |
| CVE-2020-11306 | A-175038981* | مرتفع | مكوّن مغلق المصدر |
| CVE-2020-26555 | A-181682537* | مرتفع | مكوّن مغلق المصدر |
| CVE-2021-1900 | A-181682536* | مرتفع | مكوّن مغلق المصدر |
| CVE-2021-1925 | A-179040020* | مرتفع | مكوّن مغلق المصدر |
| CVE-2021-1937 | A-181682513* | مرتفع | مكوّن مغلق المصدر |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذا النشرة.
1. كيف يمكنني معرفة ما إذا تم تحديث جهازي لمعالجة هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى رمز تصحيح الأمان على جهاز، يمكنك الاطّلاع على المقالة التحقّق من إصدار Android وتحديثه.
- تعالج مستويات رمز تصحيح الأمان بتاريخ 2021-06-01 أو بعده جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان بتاريخ 2021-06-01.
- تعمل مستويات رمز تصحيح الأمان بتاريخ 2021-06-05 أو الإصدارات الأحدث على معالجة جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان بتاريخ 2021-06-05 وجميع مستويات رمز التصحيح السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2021-06-01]
- [ro.build.version.security_patch]:[2021-06-05]
على بعض الأجهزة التي تعمل بالإصدار 10 أو الإصدارات الأحدث من نظام التشغيل Android، سيتضمّن تحديث نظام Google Play سلسلة تاريخ تتطابق مع مستوى رموز تصحيح الأمان بتاريخ 2021-06-01. يُرجى الاطّلاع على هذه المقالة لمعرفة المزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.
2. لماذا تتضمّن هذه النشرة مستويَين لرمز تصحيح الأمان؟
تتضمّن هذه النشرة مستويَين لرموز تصحيح الأمان، ما يتيح لشركاء Android المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بإصلاح جميع المشاكل الواردة في هذه النشرة واستخدام أحدث مستوى لرموز تصحيح الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2021-06-01 جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا، بالإضافة إلى حلول لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى رمز تصحيح الأمان بتاريخ 05-06-2021 أو أحدث جميع رموز التصحيح السارية في نشرات الأمان هذه (والنشرات السابقة).
ننصح الشركاء بتجميع إصلاحات جميع المشاكل التي يعالجونها في تحديث واحد.
3. ما هي معاني الإدخالات في عمود النوع؟
تشير الإدخالات في عمود النوع ضمن جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز عن بعد |
| EoP | تعلية الامتيازات |
| رقم التعريف | الإفصاح عن المعلومات |
| DoS | رفض الخدمة |
| لا ينطبق | التصنيف غير متوفّر |
4. ماذا تعني الإدخالات في عمود المراجع؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدّد المؤسسة التي ينتمي إليها مرجع القيمة.
| بادئة | مراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | رقم مرجع MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | رقم Broadcom المرجعي |
5. ماذا تعني علامة النجمة (*) بجانب رقم تعريف خطأ Android في عمود المراجع؟
تحتوي المشاكل غير المتاحة للجميع على علامة النجمة (*) بجانب رقم التعريف المرجعي ذي الصلة. يتضمّن أحدث برنامج تشغيل ثنائي لأجهزة Pixel متاح على موقع "مطوّرو Google" الإلكتروني عادةً إصلاحًا لهذه المشكلة.
6- لماذا يتم تقسيم الثغرات الأمنية بين هذه النشرة ونشرات الأمان الخاصة بالأجهزة أو الشركاء، مثل نشرة Pixel؟
يجب الإفصاح عن مستوى رموز تصحيح الأمان الأحدث على أجهزة Android عند توثيق الثغرات الأمنية في نشرة الأمان هذه. لا يلزم توفّر ثغرات أمنية إضافية موثّقة في نشرات أمان الأجهزة أو الشركاء لتحديد مستوى رمز تصحيح الأمان. قد تنشر الشركات المصنّعة لأجهزة Android وشرائح المعالجة أيضًا تفاصيل حول الثغرات الأمنية الخاصة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung.
الإصدارات
| الإصدار | التاريخ | ملاحظات |
|---|---|---|
| 1.0 | 7 يونيو 2021 | تم نشر نشرة |
| 1.1 | 8 يونيو 2021 | تمت مراجعة النشرة لتضمين روابط AOSP |