تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية تؤثر في أجهزة Android. مستويات رموز تصحيح الأمان بتاريخ 2022-01-05 أو بعد ذلك تعالج كل هذه المشكلات. لمعرفة كيفية التحقّق من رمز تصحيح الأمان للجهاز المستوى، فراجع التحقق من تحديث إصدار Android على جهازك
يتم إشعار شركاء Android بجميع المشاكل شهر قبل النشر. تشتمل رموز تصحيح الرموز المصدر لهذه المشاكل على تم إصدارها إلى مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) ومرتبطة من هذه النشرة. تتضمن هذه النشرة أيضًا روابط تؤدي إلى تصحيحات خارج AOSP
وأصعب هذه المشكلات هي الثغرة الأمنية العالية في نظام مكوِّن وقت التشغيل الذي يمكن أن يتيح لمهاجم محلي من تجاوز الذاكرة للحصول على إذن بالوصول إلى أذونات إضافية. تشير رسالة الأشكال البيانية تقييم الخطورة على التأثير المحتمل لاستغلال الثغرة الأمنية الجهاز المتأثر، بافتراض إيقاف إجراءات التخفيف من حد سواء للنظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
يمكنك الرجوع إلى نظام Android وقسم إجراءات التخفيف من خلال "Google Play للحماية" لمعرفة التفاصيل حول أجهزة Android حماية الأنظمة الأساسية الأمنية و"Google Play للحماية" التي تعمل على تحسين لأمن نظام Android الأساسي.
إجراءات التخفيف في خدمات Android وGoogle
في ما يلي ملخّص لإجراءات التخفيف التي يتضمنها أجهزة Android لمنصة الأمان ووسائل حماية الخدمات مثل Google Play للحماية: تقلل هذه الإمكانات من احتمالية تعرض الثغرات الأمنية على نظام Android.
- تزداد صعوبة الاستفادة من العديد من المشاكل على Android التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجعك على على جميع المستخدمين تثبيت أحدث إصدار من Android متى أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط حالات إساءة الاستخدام من خلال تقويم "Play للحماية" وتحذّر المستخدمين بشأن احتمال التطبيقات الضارة: يتم تفعيل خدمة "Google Play للحماية" تلقائيًا على الأجهزة. خدمات Google للجوّال، خصوصًا للمستخدمين الذين يثبّتون تطبيقات من خارج Google Play.
تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2022-01-01
في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى رمز التصحيح 2022-01-01. تُعد الثغرات الأمنية مجمعة ضمن المكون الذي تؤثر فيه. يتم توضيح المشاكل في الجداول. أدناه وتضمين معرّف CVE والمراجع ذات الصلة النوع الثغرة الأمنية، درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نقوم بربط تغيير عام عالج المشكلة إلى معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم ربط مراجع إضافية. إلى الأرقام التي تلي معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات الأمان بالإضافة إلى تحديثات نظام Play
إطار العمل
يمكن لأشد ثغرة في هذا القسم أن تؤدي إلى ظهور برامج ضارة محلية تطبيق لتجاوز متطلبات تفاعل المستخدم من أجل الحصول على إمكانية الوصول إلى أذونات إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2021-39630 | A-202768292 | EoP | عالٍ | 12 |
| CVE-2021-39632 | A-202159709 | EoP | عالٍ | 11، 12 |
| CVE-2020-0338 | A-123700107 | رقم التعريف | عالٍ | 9 و10 |
إطار عمل الوسائط
يمكن أن تؤدي الثغرة الأمنية الواردة في هذا القسم إلى تصعيد امتيازًا بدون الحاجة إلى امتيازات تنفيذ إضافية أو تفاعل من المستخدم.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2021-39623 | A-194105348 | EoP | عالٍ | 9 و10 و11 و12 |
النظام
ويمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين المهاجم الذي يحظى بامتيازات امتياز لتثبيت الحِزَم الحالية بدون طلب موافقة المستخدم.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2021-39618 | A-196855999 * | EoP | عالٍ | 9 و10 و11 و12 |
| CVE-2021-39620 | A-203847542 | EoP | عالٍ | 11، 12 |
| CVE-2021-39621 | A-185126319 | EoP | عالٍ | 9 و10 و11 و12 |
| CVE-2021-39622 | A-192663648 * | EoP | عالٍ | 10 و11 و12 |
| CVE-2021-39625 | A-194695347 * | EoP | عالٍ | 9 و10 و11 و12 |
| CVE-2021-39626 | A-194695497 | EoP | عالٍ | 9 و10 و11 و12 |
| CVE-2021-39627 | A-185126549 | EoP | عالٍ | 9 و10 و11 و12 |
| CVE-2021-39629 | A-197353344 | EoP | عالٍ | 9 و10 و11 و12 |
| CVE-2021-0643 | A-183612370 | رقم التعريف | عالٍ | 10 و11 و12 |
| CVE-2021-39628 | A-189575031 | رقم التعريف | عالٍ | 10 و11 |
| CVE-2021-39659 | A-208267659 | الحرمان من الخدمات | عالٍ | 10 و11 و12 |
تحديثات نظام Google Play
لم تتم معالجة أي مشاكل أمان في تحديثات نظام Google Play. (Project Mainline) هذا الشهر.
ثغرة أمنية على مستوى رمز تصحيح الأمان في 2022-01-05 التفاصيل
في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى التصحيح 2022-01-05. تُعد الثغرات الأمنية مجمعة ضمن المكون الذي تؤثر فيه. يتم توضيح المشاكل في الجداول. أدناه وتضمين معرّف CVE والمراجع ذات الصلة النوع الثغرة الأمنية، درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نربط الجمهور تغيير عالج المشكلة إلى معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم ربط مراجع إضافية. إلى الأرقام التي تلي معرّف الخطأ.
وقت تشغيل Android
قد تتيح الثغرة الأمنية في هذا القسم لمهاجم محلي إمكانية تجاوز القيود على الذاكرة للحصول على إذن بالوصول إلى أذونات إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2021-0959 | A-200284993 | EoP | عالٍ | 12 |
مكونات النواة
ويمكن أن تؤدي أشد ثغرة في هذا القسم إلى اتصال تصعيد الامتياز بسبب أحد شروط السباق، بدون امتيازات التنفيذ أو التفاعل المطلوب من المستخدم.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن |
|---|---|---|---|---|
| CVE-2021-39634 | A-204450605 نواة البث المباشر |
EoP | عالٍ | Kernel |
| CVE-2021-39633 | A-150694665 نواة البث المباشر |
رقم التعريف | عالٍ | Kernel |
قناة الدعم الطويل الأمد (LTS) بالنواة
تم تحديث إصدارات النواة التالية.
| المراجع | إصدار إطلاق Android | إصدار إطلاق النواة | الحد الأدنى لإصدار الإطلاق |
|---|---|---|---|
| A-182179492 | 11 | 5.4 | 5.4.86 |
مكوِّنات MediaTek
تؤثر الثغرات الأمنية هذه في مكونات MediaTek، ويتم التعامل مع المزيد من التفاصيل متوفرة مباشرةً من MediaTek يتم تقييم خطورة هذه المشكلات مقدمة مباشرةً من MediaTek
| CVE | المراجع | درجة الخطورة | المكوّن |
|---|---|---|---|
| CVE-2021-31345 | A-207693368 M- MOLY00756840 * |
عالٍ | المودم (Nucleus NET TCP/IP) |
| CVE-2021-31346 | A-207646334 M-MOLY00756840 * |
عالٍ | المودم (Nucleus NET TCP/IP) |
| CVE-2021-31890 | A-207646336 M-MOLY00756840 * |
عالٍ | المودم (Nucleus NET TCP/IP) |
| CVE-2021-40148 | A-204728248 M-MOLY00716585 * |
عالٍ | إدارة الخدمات الجوّالة للمؤسسات (EMM) للمودم |
| CVE-2021-31889 | A-207646335 M-MOLY00756840 * |
عالٍ | المودم (Nucleus NET TCP/IP) |
مكونات Unisoc
تؤثر هذه الثغرة الأمنية على مكونات Unisoc وتتوفر المزيد من التفاصيل مباشرة من Unisoc. يتم توفير تقييم خطورة هذه المشكلة مباشرةً بواسطة Unisoc.
| CVE | المراجع | درجة الخطورة | المكوّن |
|---|---|---|---|
| CVE-2021-1049 | A-204256722 U-1733219 * |
عالٍ | slogmodem |
مكونات Qualcomm
تؤثر الثغرات الأمنية هذه في مكونات Qualcomm ويتم توضيحها في التفاصيل في نشرة الأمان أو تنبيه الأمان المناسب في Qualcomm. توفّر شركة Qualcomm تقييم درجة خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن |
|---|---|---|---|
| CVE-2021-30319 | A-202025735 QC-CR#2960714 |
عالٍ | شبكة WLAN |
| CVE-2021-30353 | A-202025599 QC-CR#2993069 [2] |
عالٍ | الصوت |
مكونات Qualcomm مغلقة المصدر
تؤثر الثغرات الأمنية هذه في مكونات Qualcomm مغلقة المصدر ويتم توضيحها بمزيد من التفاصيل في النشرة أو نشرة الأمان المناسبة من Qualcomm تنبيه. توفّر شركة Qualcomm تقييم درجة خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن |
|---|---|---|---|
| CVE-2021-30285 | A-193070555 * | حرج | مكوِّن مغلق المصدر |
| CVE-2021-30287 | A-193070556 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2021-30300 | A-193071116 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2021-30301 | A-193070342 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2021-30307 | A-193070700 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2021-30308 | A-193070594 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2021-30311 | A-193070557 * | عالٍ | مكوِّن مغلق المصدر |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذا القسم. نشرة.
1. كيف يمكنني معرفة ما إذا كان جهازي قد تم تحديثه لحلّ هذه المشاكل؟
لمعرفة كيفية التحقق من مستوى رمز تصحيح أمان الجهاز، يُرجى الاطّلاع على مقالة التحقّق من إصدار Android على جهازك وتحديثه.
- تعالج مستويات رموز تصحيح الأمان بتاريخ 01-01-2022 أو تاريخ لاحق جميع المشاكل المرتبط بمستوى رمز تصحيح الأمان 2022-01-01.
- إنّ مستويات رموز تصحيح الأمان بتاريخ 2022-01-05 أو بعد ذلك تعالج جميع المشاكل المرتبطة مع مستوى رمز تصحيح الأمان 2022-01-05 وجميع مستويات رموز التصحيح السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة رمز التصحيح على:
- [ro.build.version.security_patch]:[2022-01-01]
- [ro.build.version.security_patch]:[2022-01-05]
بالنسبة إلى بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث، سيسري تحديث نظام Google Play أن تتضمّن سلسلة تاريخ تتطابق مع مستوى رمز تصحيح الأمان 2022-01-01. يُرجى مراجعة هذا مقالة لمزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.
2. لماذا تحتوي هذه النشرة على مستويَين من رموز تصحيح الأمان؟
تحتوي هذه النشرة على مستويَين من رموز تصحيح الأمان، ما يمنح شركاء Android المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المشابهة في جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بحلّ جميع المشاكل الواردة في هذه النشرة واستخدام أحدث مستوى من رمز تصحيح الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدِم مستوى رمز تصحيح الأمان 2022-01-01 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات جميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تستخدم الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2022-01-05 أو إصدارًا أحدث. تضمين جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).
نشجّع الشركاء على جمع الحلول لكل المشاكل التي يواجهونها. ومعالجتها في تحديث واحد.
3. ما معنى الإدخالات في عمود النوع؟
الإدخالات في العمود النوع ضمن جدول تفاصيل الثغرة الأمنية تشير إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز عن بعد |
| EoP | رفع الامتياز |
| رقم التعريف | الإفصاح عن المعلومات |
| الحرمان من الخدمات | الحرمان من الخدمة |
| لا ينطبق | التصنيف غير متاح |
4. ما معنى الإدخالات في عمود المراجع؟
الإدخالات ضمن عمود المراجع في تفاصيل الثغرة الأمنية على بادئة تحدد المؤسسة التي ينتمي إليها المرجع تنتمي القيمة.
| بادئة | مَراجع |
|---|---|
| A- | معرّف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لـ NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
| U- | الرقم المرجعي لـ UNISOC |
5. ماذا تفعل علامة * بجوار معرّف خطأ Android في ما هو عمود المراجع؟
تظهر علامة * بجانب المشاكل غير المتاحة للجميع معرف المرجع. عادةً ما يتضمّن التحديث المتعلّق بهذه المشكلة أحدث برامج التشغيل الثنائية لأجهزة Pixel المتوفرة من تقويم الموقع الإلكتروني للمطوّرين.
6. لماذا تنقسم الثغرات الأمنية بين هذه النشرة نشرات أمان الجهاز أو الشريك، مثل هاتف Pixel النشرة؟
الثغرات الأمنية الموثقة في هذه النشرة الأمنية مطلوب للإعلان عن أحدث مستوى لرمز تصحيح الأمان على أجهزة Android. الثغرات الأمنية الإضافية التي تم توثيقها في الجهاز أو الشريك نشرات الأمان غير مطلوبة للإعلان عن مستوى رمز تصحيح الأمان. قد تنشر أيضًا الشركات المصنّعة لأجهزة Android وشرائح الجمهور بيانات الأمان تفاصيل الثغرة الأمنية الخاصة بمنتجاتها، مثل Google و Huawei، LGE، Motorola، Nokia، أو Samsung.
الإصدارات
| الإصدار | التاريخ | ملاحظات |
|---|---|---|
| 1 | 4 كانون الثاني (يناير) 2022 | تم إصدار النشرة |
| 1.1 | 5 كانون الثاني (يناير) 2022 | تمت مراجعة النشرة لتشمل روابط AOSP. |
| 2.0 | 10 كانون الثاني (يناير) 2022 | جدول CVE المنقح |