نشرة أمان Android: يونيو 2024

تاريخ النشر: 3 يونيو 2024

وتحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر في أجهزة Android. إنّ مستويات رموز تصحيح الأمان بتاريخ 2024-06-05 أو بعد ذلك تعالج كل هذه المشاكل. للتعرّف على كيفية فحص مستوى رمز تصحيح أمان الجهاز، يُرجى الاطّلاع على مقالة التحقّق من إصدار Android على جهازك وتحديثه.

يتم إشعار شركاء Android بجميع المشاكل قبل شهر على الأقل من النشر. سيتم إصدار رموز التصحيح الخاصة بهذه المشاكل في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) في غضون 48 ساعة. وسنراجع هذه النشرة باستخدام روابط AOSP عندما تكون متاحة.

وأصعب هذه المشاكل هي الثغرة الأمنية العالية المستوى في مكوّن النظام والتي يمكن أن تؤدي إلى تصعيد للامتياز على الجهاز بدون الحاجة إلى امتيازات تنفيذ إضافية. يستند تقييم الخطورة إلى التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثّر، بافتراض إيقاف إجراءات تخفيف أثر النظام الأساسي والخدمات لأغراض التطوير أو في حال تجاوزها بنجاح.

راجِع قسم إجراءات التخفيف في Android و"Google Play للحماية" للاطّلاع على تفاصيل حول إجراءات الحماية على الأنظمة الأساسية لأمان Android و"Google Play للحماية" اللتين تساعدان على تعزيز أمان نظام Android الأساسي.

إجراءات التخفيف في خدمات Android وGoogle

هذا ملخّص لإجراءات التخفيف التي يوفّرها نظام الأمان الأساسي في Android ووسائل حماية الخدمات، مثل Google Play للحماية. وتحدّ هذه الإمكانات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.

  • ويصعّب استغلال العديد من المشاكل على نظام التشغيل Android من خلال إجراء تحسينات في الإصدارات الأحدث من نظام Android الأساسي. ونحن نشجع جميع المستخدمين على تثبيت أحدث إصدار من Android متى أمكن ذلك.
  • يراقب فريق أمان Android بشكل نشط حالات إساءة الاستخدام من خلال Google Play للحماية، ويحذّر المستخدمين بشأن التطبيقات التي قد تتسبّب بضرر. يتم تفعيل "Google Play للحماية" تلقائيًا على الأجهزة التي تستخدم خدمات Google للأجهزة الجوّالة، وهي مهمة بشكل خاص للمستخدمين الذين يثبّتون تطبيقات من خارج Google Play.

تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2024-06-01

في الأقسام أدناه، نقدّم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح في 01/06/2024. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم توضيح المشاكل في الجداول أدناه وتشمل معرّف CVE والمراجع ذات الصلة ونوع الثغرة الأمنية وخطورة وإصدارات AOSP المعدّلة (حيثما ينطبق ذلك). عندما يكون هذا التغيير متاحًا، نربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط عدة تغييرات بخطأ واحد، يتم ربط المراجع الإضافية بالأرقام التي تلي معرّف الخطأ. يمكن أن تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات أمان بالإضافة إلى تحديثات نظام Google Play.

إطار العمل

يمكن أن تؤدي أشد ثغرة أمنية في هذا القسم إلى تصعيد الامتياز المحلي بدون الحاجة إلى أي امتيازات تنفيذ إضافية.

CVE المراجع Type درجة الخطورة إصدارات معدَّلة من AOSP
CVE-2023-21266 A-223376078 EoP عالٍ 12، 12L، 13
CVE-2024-31310 A-324874908 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31316 A-321941232 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31317 A-316153291 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31318 A-313428840 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31319 A-317357401 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31322 A-326485767 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31324 A-302431573 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31325 A-317503801 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31326 A-318497672 [2] EoP عالٍ 14
CVE-2024-31312 A-314333719 رقم التعريف عالٍ 12، 12L، 13، 14
CVE-2024-31314 A-304290201 الحرمان من الخدمات عالٍ 12، 12L، 13، 14

النظام

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تصعيد الامتياز المحلي بدون الحاجة إلى امتيازات تنفيذ إضافية.

CVE المراجع Type درجة الخطورة إصدارات معدَّلة من AOSP
CVE-2023-21113 A-267231571 [2] [3] EoP عالٍ 12، 12L، 13
CVE-2023-21114 A-272106880 [2] [3] EoP عالٍ 13
CVE-2024-31311 A-330054251 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31313 A-321341508 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31315 A-321707289 EoP عالٍ 12، 12L، 13، 14
CVE-2024-31323 A-313425281 EoP عالٍ 14
CVE-2024-31327 A-321326147 EoP عالٍ 12، 12L، 13، 14

تحديثات نظام Google Play

يتم تضمين المشكلات التالية في مكونات Project Mainline

المكوّن الفرعي CVE
اللياقة البدنية CVE-2024-31323
تم وضع الإحصاءات CVE-2024-31311
Wi-Fi CVE-2023-21114

تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2024-06-05

في الأقسام أدناه، نقدّم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح في 05/06/2024. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم توضيح المشاكل في الجداول أدناه وتشمل معرّف CVE والمراجع ذات الصلة ونوع الثغرة الأمنية وخطورة وإصدارات AOSP المعدّلة (حيثما ينطبق ذلك). عندما يكون هذا التغيير متاحًا، نربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط عدة تغييرات بخطأ واحد، يتم ربط المراجع الإضافية بالأرقام التي تلي معرّف الخطأ.

Kernel

يمكن أن تؤدي الثغرة الأمنية في هذا القسم إلى تصعيد محلي للامتياز في النواة بدون الحاجة إلى امتيازات تنفيذ إضافية.

CVE المراجع Type درجة الخطورة المكوّن الفرعي
CVE-2024-26926 A-320661088
نواة Upstream [2]
EoP عالٍ غلاف

مكونات الذراع

تؤثر نقاط الضعف هذه في مكوّنات "الذراع" وتتوفّر المزيد من التفاصيل من خلال "الذراع" مباشرةً. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل شركة Arm.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-0671
A-329094549 * عالٍ مالي
CVE-2024-1065
A-329096276 * عالٍ مالي

تقنيات التخيل

تؤثر هذه الثغرات الأمنية في مكونات Imagination Technologies، وتتوفّر مزيد من التفاصيل مباشرةً من Imagination Technologies. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل Imagination Technologies.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-23695
A-331245718 * عالٍ وحدة معالجة رسومات PowerVR
CVE-2024-23696
A-331244771 * عالٍ وحدة معالجة رسومات PowerVR
CVE-2024-23697
A-331245500 * عالٍ وحدة معالجة رسومات PowerVR
CVE-2024-23698
A-331239675 * عالٍ وحدة معالجة رسومات PowerVR
CVE-2024-23711
A-332571891 * عالٍ وحدة معالجة رسومات PowerVR

مكوِّنات MediaTek

تؤثر هذه الثغرات الأمنية في مكونات MediaTek، وتتوفّر تفاصيل إضافية من خلال MediaTek مباشرةً. تقدِّم MediaTek تقييمًا لمدى خطورة هذه المشاكل.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-20065
A-332178746
M-ALPS08698617 *
عالٍ اتصال هاتفي
CVE-2024-20069
A-332178751
M-MOLY01286330 *
عالٍ المودم
CVE-2024-20066
A-332001819
M-MOLY01267281 *
عالٍ المودم
CVE-2024-20067
A-332186387
M-MOLY01267285 *
عالٍ المودم
CVE-2024-20068
A-332178749
M-MOLY01270721 *
عالٍ المودم

مكونات Qualcomm مغلقة المصدر

تؤثر هذه الثغرات الأمنية في مكونات Qualcomm مغلقة المصدر ويتم وصفها بمزيد من التفصيل في نشرة الأمان المناسبة أو تنبيه الأمان من Qualcomm. تقدِّم شركة Qualcomm تقييمًا لدرجة خطورة هذه المشاكل.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2023-43538
A-314791539 * مهمة للغاية مكوِّن مغلق المصدر
CVE-2023-43551
A-314791442 * مهمة للغاية مكوِّن مغلق المصدر
CVE-2023-43556
A-314791052 * مهمة للغاية مكوِّن مغلق المصدر
CVE-2023-43542
A-314790691 * عالٍ مكوِّن مغلق المصدر
CVE-2024-23363
A-328084351 * عالٍ مكوِّن مغلق المصدر

الأسئلة الشائعة والإجابات عنها

يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

‫1. كيف يمكنني معرفة ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشاكل؟

لمعرفة كيفية التحقّق من مستوى رمز تصحيح أمان الجهاز، يُرجى الاطّلاع على التحقّق من إصدار Android وتحديثه.

  • إنّ مستويات رموز تصحيح الأمان بتاريخ 01-06-2024 أو الإصدارات اللاحقة تعالج جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان 2024-06-01.
  • إنّ مستويات رموز تصحيح الأمان بتاريخ 05-06-2024 أو الإصدارات اللاحقة تعالج جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان 2024-06-05 وجميع مستويات رموز التصحيح السابقة.

على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة رمز التصحيح على:

  • [ro.build.version.security_patch]:[2024-06-01]
  • [ro.build.version.security_patch]:[2024-06-05]

على بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث، سيتضمّن تحديث نظام Google Play سلسلة تاريخ تتطابق مع مستوى رمز تصحيح الأمان 2024-06-01. يُرجى الاطّلاع على هذه المقالة لمعرفة مزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.

2. لماذا تحتوي هذه النشرة على مستويَين من رموز تصحيح الأمان؟

تحتوي هذه النشرة على مستويَين من رموز تصحيح الأمان لمنح شركاء Android المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة على جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بحلّ جميع المشاكل الواردة في هذه النشرة واستخدام أحدث مستوى من رمز تصحيح الأمان.

  • إنّ الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-06-01 يجب أن تتضمّن جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • إنّ الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-06-05 أو إصدار أحدث يجب أن تتضمّن جميع رموز التصحيح السارية في نشرات الأمان هذه (والسابقة).

ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.

‫3. ما معنى الإدخالات في عمود النوع؟

تشير الإدخالات في العمود النوع ضمن جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.

الاختصار التعريف
RCE تنفيذ الرمز عن بعد
EoP رفع الامتياز
رقم التعريف الإفصاح عن المعلومات
الحرمان من الخدمات الحرمان من الخدمة
ما مِن مدة التصنيف غير متاح

‫4. ما معنى الإدخالات في عمود المراجع؟

قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية.

بادئة مَراجع
A-‎ معرّف الخطأ في Android
QC- الرقم المرجعي لشركة Qualcomm
M- الرقم المرجعي لشركة MediaTek
N- الرقم المرجعي لـ NVIDIA
B-‎ الرقم المرجعي لشركة Broadcom
U- الرقم المرجعي لـ UNISOC

‫5. ماذا تعني علامة * بجانب معرّف خطأ Android في عمود المراجع؟

وتظهر علامة * بجانب رقم التعريف المرجعي للمشاكل غير المتاحة للجميع. وبشكلٍ عام، يتضمّن التحديث المتعلّق بهذه المشكلة أحدث برامج التشغيل الثنائية لأجهزة Pixel والمتوفّرة من موقع Google Developer الإلكتروني.

‫6. لماذا يتم تقسيم الثغرات الأمنية بين هذه النشرة ونشرات أمان الجهاز أو الشريك، مثل نشرة Pixel؟

يجب ذكر الثغرات الأمنية الموثَّقة في هذا النشرة الأمنية مع الإفصاح عن أحدث مستوى لرمز تصحيح الأمان على أجهزة Android. لا يُشترط توفّر ثغرات أمنية إضافية تم توثيقها في نشرات أمان الجهاز أو الشريك للإعلان عن مستوى رمز التصحيح الأمني. قد تنشر أيضًا الشركات المصنّعة لأجهزة Android وشرائح الجمهور تفاصيل الثغرات الأمنية المرتبطة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung.

الإصدارات

الإصدار التاريخ Notes
1 3 يونيو 2024 تم نشر النشرة