تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية تؤثر في أجهزة Android. مستويات رمز تصحيح الأمان 2023-10-06 أو تاريخ لاحق على حلّ جميع هذه المشاكل. لمعرفة كيفية التحقق من مستوى رمز تصحيح أمان الجهاز، يمكنك الاطّلاع على التحقّق من إصدار Android وتحديثه
يتم إشعار شركاء Android بجميع المشاكل قبل شهر على الأقل من جهة النشر. تم إصدار رموز تصحيح الرموز المصدر لهذه المشاكل في برنامج Android المفتوح مستودع مشروع المصدر (AOSP) ورابطه من هذه النشرة. هذه النشرة كما تتضمن أيضًا روابط إلى رموز تصحيح خارج بروتوكول AOSP.
ويستند تقييم الخطورة إلى تأثير أن يكون استغلال الثغرة الأمنية على أحد الأجهزة المصابة، بافتراض إيقاف إجراءات تخفيف أثر النظام الأساسي والخدمات بغرض التطوير أو إذا تم تجاوزها بنجاح.
يُرجى الرجوع إلى Android وGoogle Play للحماية إجراءات التخفيف للحصول على تفاصيل حول نظام الأمان الأساسي Android الحماية و"Google Play للحماية" التي تحسِّن من أمان نظام Android الأساسي.
خدمة Android وGoogle إجراءات التخفيف
في ما يلي ملخّص لإجراءات التخفيف التي يتضمنها نظام الأمان الأساسي Android ووسائل حماية الخدمة مثل Google Play الحماية: تقلل هذه الإمكانات من احتمالية الثغرات الأمنية بنجاح في Android.
- تزداد صعوبة الاستفادة من العديد من المشاكل على Android التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع مستخدمَان للتحديث إلى آخر إصدار من Android متى أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط حالات إساءة الاستخدام من خلال Google Play حماية المستخدمين وتحذيرهم بشأن احتمال التطبيقات الضارة: يتم تفعيل خدمة "Google Play للحماية" تلقائيًا على جهازان من خلال Google الهاتف المحمول الخدمات، وهي مهمة بشكل خاص للمستخدمين الذين يثبّتون التطبيقات من خارج Google Play.
10/10/2023 تفاصيل الثغرات الأمنية على مستوى رمز تصحيح الأمان
في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى رمز التصحيح 2023-10-01. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وهي تشمل رقم تعريف CVE (معرّف CVE) المرتبطة به. المراجع ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نربط التغيير العلني الذي تناول المشكلة معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم إنشاء مراجع إضافية المرتبطة بالأرقام التي تلي معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات أمان بالإضافة إلى ذلك. تقويم تحديثات نظام Play
إطار العمل
وقد تؤدي أشد ثغرة في هذا القسم إلى تصعيد امتيازًا بدون الحاجة إلى أي امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2] | EoP | عالٍ | 11، 12، 12 لتر |
| CVE-2023-40120 | A-274775190 | EoP | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40131 | A-282919145 | EoP | عالٍ | 12، 12L، 13 |
| CVE-2023-40140 | A-274058082 | EoP | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-21291 | A-277593270 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40121 | A-224771621 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40134 | A-283101289 | رقم التعريف | عالٍ | 12، 12L، 13 |
| CVE-2023-40136 | A-281666022 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40137 | A-281665050 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40138 | A-281534749 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40139 | A-281533566 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
النظام
يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تنفيذ الرموز البرمجية (قريبة/قريبة) بدون امتيازات تنفيذ إضافية احتاجت.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | RCE | حرج | 12، 12L، 13 |
| CVE-2023-21244 | A-276729064 [2] [3] | EoP | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40117 | A-253043065 [2] | EoP | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40125 | A-279902472 | EoP | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40128 | A-274231102 | EoP | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40130 | A-289809991 | EoP | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40123 | A-278246904 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40127 | A-262244882 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40133 | A-283264674 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-40135 | A-281848557 | رقم التعريف | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-21252 | A-275339978 [2] | الحرمان من الخدمات | عالٍ | 11، 12، 12L، 13 |
| CVE-2023-21253 | A-266580022 [2] [3] | الحرمان من الخدمات | عالٍ | 11، 12، 12L، 13 |
تحديثات نظام Google Play
يتم تضمين المشكلات التالية في مكونات المشروع Mainline.
| المكوّن الفرعي | CVE |
|---|---|
| MediaProvider | CVE-2023-40127 |
| Wi-Fi | CVE-2023-21252 |
05/10/2023 تفاصيل الثغرات الأمنية على مستوى رمز تصحيح الأمان
في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى التصحيح 2023-10-05. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وهي تشمل رقم تعريف CVE (معرّف CVE) المرتبطة به. المراجع ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نربط التغيير العلني الذي تناول المشكلة معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم إنشاء مراجع إضافية المرتبطة بالأرقام التي تلي معرّف الخطأ.
مكونات الذراع
تؤثر الثغرات الأمنية هذه في مكونات "الذراع" وتتاح لك مزيد من التفاصيل مباشرةً من Arm. يتم توفير تقييم لدرجة خطورة هذه المشاكل مباشرةً من خلال Arm.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | عالٍ | مالي |
| CVE-2022-28348 | A-296463357 * | عالٍ | مالي |
| CVE-2023-4211 | A-294605494 * | عالٍ | مالي |
| CVE-2023-33200 | A-287627703 * | عالٍ | مالي |
| CVE-2023-34970 | A-287624919 * | عالٍ | مالي |
مكوِّنات MediaTek
تؤثر الثغرات الأمنية هذه في مكونات MediaTek، ويتم التعامل مع المزيد من التفاصيل متوفرة مباشرةً من MediaTek تقدّم MediaTek تقييم لمدى خطورة هذه المشاكل.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
عالٍ | بروتوكول CDMA PPP |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
عالٍ | عرض |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
عالٍ | برامج wlan الثابتة |
مكونات Unisoc
تؤثر هذه الثغرة الأمنية على مكونات Unisoc، ومنها مزيد من التفاصيل متوفرة مباشرة من Unisoc. توفّر Unisoc تقييم خطورة هذه المشكلة مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
عالٍ | Android |
مكونات Qualcomm
تؤثر الثغرات الأمنية هذه في مكونات Qualcomm ويتم توضيحها في التفاصيل في نشرة الأمان أو تنبيه الأمان المناسب في Qualcomm. توفّر شركة Qualcomm تقييم درجة خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
عالٍ | Kernel |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
عالٍ | الصوت |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
عالٍ | الصوت |
مكونات Qualcomm مغلقة المصدر
تؤثر الثغرات الأمنية هذه في مكونات المصدر المغلق لشركة Qualcomm بمزيد من التفصيل في نشرة الأمان المناسبة من Qualcomm أو تنبيه أمان توفّر شركة Qualcomm تقييم درجة خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | حرج | مكوِّن مغلق المصدر |
| CVE-2023-28540 | A-276751073 * | حرج | مكوِّن مغلق المصدر |
| CVE-2023-33028 | A-290060590 * | حرج | مكوِّن مغلق المصدر |
| CVE-2023-21673 | A-276750698 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-22385 | A-276750699 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-24843 | A-276750762 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-24844 | A-276750872 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-24847 | A-276751090 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-24848 | A-276750995* | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-24849 | A-276751370* | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-24850 | A-276751108 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-24853 | A-276751372 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-33026 | A-290061996 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2023-33027 | A-290061249 * | عالٍ | مكوِّن مغلق المصدر |
6/10/2023 تفاصيل الثغرات الأمنية على مستوى رمز تصحيح الأمان
في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى التصحيح 2023-10-06. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وهي تشمل رقم تعريف CVE (معرّف CVE) المرتبطة به. المراجع ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نربط التغيير العلني الذي تناول المشكلة معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم إنشاء مراجع إضافية المرتبطة بالأرقام التي تلي معرّف الخطأ.
النظام
يمكن أن تؤدي الثغرة الأمنية الواردة في هذا القسم إلى الاستغلال بدون تفاعل المستخدم.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | حرج | 11، 12، 12L، 13 |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذا القسم. نشرة.
1. كيف يمكنني معرفة ما إذا كان جهازي محدَّثًا أم لا لمعالجة هذه المشاكل من المشاكل؟
لمعرفة كيفية التحقق من مستوى رمز تصحيح أمان الجهاز، يمكنك الاطّلاع على التحقّق من إصدار Android وتحديثه
- عنوان رموز تصحيح الأمان بتاريخ 10/10/2023 أو تاريخ لاحق جميع المشاكل المرتبطة بحزمة الأمان 2023-10-01 المستوى.
- مستويات رموز تصحيح الأمان لشهر 2023-10-05 أو تاريخ لاحق جميع المشاكل المرتبطة بحزمة الأمان 2023-10-05 وكل مستويات التصحيح السابقة.
- مستويات رموز تصحيح الأمان لشهر 2023-10-06 أو تاريخ لاحق جميع المشاكل المرتبطة بحزمة الأمان 2023-10-06 وكل مستويات التصحيح السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط سلسلة رمز التصحيح المستوى إلى:
- [ro.build.version.security_patch]:[2023-10-01]
- [ro.build.version.security_patch]:[2023-10-05]
- [ro.build.version.security_patch]:[2023-10-06]
تحديث نظام Google Play على بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث على سلسلة تاريخ تتطابق مع 01-10-2023 مستوى رمز تصحيح الأمان. يُرجى الاطّلاع على هذه المقالة للحصول على مزيد من التفاصيل حول كيفية عملية تثبيت تحديثات الأمان.
2. لماذا تحتوي هذه النشرة على ثلاثة مستويات من رموز تصحيح الأمان؟
تشتمل هذه النشرة على ثلاثة مستويات من رموز تصحيح الأمان بحيث تتوفر لدى شركاء Android المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر ننصح شركاء Android بحلّ جميع المشكلات في هذه النشرة واستخدام أحدث مستوى من تصحيح الأمان.
- الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2023-10-01 أن تتضمّن جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا كـ إصلاحات لجميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2023-10-05 أو الأحدث أن تتضمّن جميع رموز التصحيح القابلة للتطبيق في مستوى الأمان هذا (والسابق) ونشرات.
- الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2023-10-06 أو الأحدث أن تتضمّن جميع رموز التصحيح القابلة للتطبيق في مستوى الأمان هذا (والسابق) ونشرات.
نشجّع الشركاء على جمع الحلول لكل المشاكل التي يواجهونها. معالجتها في تحديث واحد.
3. ما معنى الإدخالات في عمود النوع؟
الإدخالات في العمود النوع ضمن جدول تفاصيل الثغرة الأمنية تشير إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز عن بعد |
| EoP | رفع الامتياز |
| رقم التعريف | الإفصاح عن المعلومات |
| الحرمان من الخدمات | الحرمان من الخدمة |
| لا ينطبق | التصنيف غير متاح |
4. ما معنى الإدخالات في عمود المراجع؟
الإدخالات ضمن عمود المراجع في تفاصيل الثغرة الأمنية جدول على بادئة تحدد المؤسسة التي مرجع تنتمي القيمة.
| بادئة | مَراجع |
|---|---|
| A- | معرّف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لـ NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
| U- | الرقم المرجعي لـ UNISOC |
5. ما تأثير علامة * بجوار معرّف خطأ Android في المراجع متوسط العمود؟
تظهر علامة * بجانب المشاكل غير المتاحة للجميع معرف المرجع. عادةً ما يتضمّن التحديث المتعلّق بهذه المشكلة أحدث برامج التشغيل الثنائية لأجهزة Pixel المتوفرة من تقويم الموقع الإلكتروني للمطوّرين.
6. لماذا تنقسم الثغرات الأمنية بين هذه النشرة نشرات أمان الجهاز أو الشريك، مثل هل هي نشرة Pixel؟
الثغرات الأمنية الموثقة في هذه النشرة الأمنية مطلوب للإعلان عن أحدث مستوى لرمز تصحيح الأمان على Android الأجهزة. هناك ثغرات أمنية إضافية تم توثيقها في نشرات أمان الجهاز أو الشريك غير مطلوبة إعلان مستوى رمز تصحيح الأمان. الشركات المصنّعة لأجهزة Android وشرائح الجمهور نشر تفاصيل الثغرات الأمنية الخاصة بمنتجاتها أو مثل Google و Huawei، LGE، Motorola، Nokia، أو Samsung.
الإصدارات
| الإصدار | التاريخ | ملاحظات |
|---|---|---|
| 1 | 2 تشرين الأول (أكتوبر) 2023 | تم نشر النشرة |