وتحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر في أجهزة Android. إنّ مستويات رموز تصحيح الأمان بتاريخ 05/07/2024 أو تاريخ لاحق تعالج كل هذه المشاكل. للتعرّف على كيفية فحص مستوى رمز تصحيح أمان الجهاز، يُرجى الاطّلاع على مقالة التحقّق من إصدار Android على جهازك وتحديثه.
يتم إشعار شركاء Android بجميع المشاكل قبل شهر على الأقل من النشر. وقد تم إصدار رموز التصحيح الخاصة بهذه المشاكل في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) وربطها بهذه النشرة. تتضمن هذه النشرة أيضًا روابط تؤدي إلى رموز تصحيح خارج بروتوكول AOSP.
وأصعب هذه المشاكل هي الثغرة الأمنية الخطيرة في مكوّن إطار العمل والتي يمكن أن تؤدي إلى تصعيد للامتياز على المستوى المحلي بدون الحاجة إلى امتيازات تنفيذ إضافية. ويستند تقييم الخطورة إلى التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثّر، بافتراض إيقاف إجراءات الحد من مستوى النظام الأساسي والخدمات لأغراض التطوير أو في حال تجاوزها بنجاح.
راجِع قسم إجراءات التخفيف في Android و"Google Play للحماية" للاطّلاع على تفاصيل حول إجراءات الحماية على الأنظمة الأساسية لأمان Android و"Google Play للحماية" اللتين تساعدان على تعزيز أمان نظام Android الأساسي.
إجراءات التخفيف في خدمات Android وGoogle
هذا ملخّص لإجراءات التخفيف التي يوفّرها نظام الأمان الأساسي في Android ووسائل حماية الخدمات، مثل Google Play للحماية. وتحدّ هذه الإمكانات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.
- ويصعّب استغلال العديد من المشاكل على نظام التشغيل Android من خلال إجراء تحسينات في الإصدارات الأحدث من نظام Android الأساسي. ونحن نشجع جميع المستخدمين على تثبيت أحدث إصدار من Android متى أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط حالات إساءة الاستخدام من خلال Google Play للحماية، ويحذّر المستخدمين بشأن التطبيقات التي قد تتسبّب بضرر. يتم تفعيل "Google Play للحماية" تلقائيًا على الأجهزة التي تتضمّن خدمات Google للأجهزة الجوّالة، وهي مهمة بشكل خاص للمستخدمين الذين يثبّتون تطبيقات من خارج Google Play.
تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2024-07-01
في الأقسام أدناه، نقدّم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح في 01/07/2024. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم توضيح المشاكل في الجداول أدناه وتشمل معرّف CVE والمراجع ذات الصلة ونوع الثغرة الأمنية وخطورة وإصدارات AOSP المعدّلة (حيثما ينطبق ذلك). عندما يكون هذا التغيير متاحًا، نربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط عدة تغييرات بخطأ واحد، يتم ربط المراجع الإضافية بالأرقام التي تلي معرّف الخطأ. يمكن أن تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات الأمان بالإضافة إلى تحديثات نظام Google Play.
إطار العمل
يمكن أن تؤدي أشد ثغرة أمنية في هذا القسم إلى تصعيد الامتياز المحلي بدون الحاجة إلى أي امتيازات تنفيذ إضافية.
| CVE | المراجع | Type | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2024-31320 | A-329230490 [2] | EoP | مهمة للغاية | 12 أو 12 لتر |
| CVE-2024-31331 | A-297517712 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34720 | A-319081336 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34723 | A-317048338 | EoP | عالٍ | 12، 12L، 13، 14 |
النظام
يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تصعيد الامتياز المحلي بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | Type | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2024-31332 | A-299931076 | EoP | عالٍ | 13، 14 |
| CVE-2024-31339 | A-292160348 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34722 | A-251514170 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34721 | A-294406604 | رقم التعريف | عالٍ | 12، 12L، 13، 14 |
تحديثات نظام Google Play
يتم تضمين المشكلات التالية في مكونات Project Mainline
| المكوّن الفرعي | CVE |
|---|---|
| MediaProvider | CVE-2024-34721 |
| تم وضع الإحصاءات | CVE-2024-31339 |
تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2024-07-05
في الأقسام أدناه، نقدّم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح في 05/07/2024. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم توضيح المشاكل في الجداول أدناه وتشمل معرّف CVE والمراجع ذات الصلة ونوع الثغرة الأمنية وخطورة وإصدارات AOSP المعدّلة (حيثما ينطبق ذلك). عندما يكون هذا التغيير متاحًا، نربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط عدة تغييرات بخطأ واحد، يتم ربط المراجع الإضافية بالأرقام التي تلي معرّف الخطأ.
Kernel
يمكن أن تؤدي الثغرة الأمنية الواردة في هذا القسم إلى تصعيد الامتياز المحلي بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | Type | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|---|
| CVE-2024-26923 |
A-336268889 نواة Upstream [2] [3] [4] |
EoP | عالٍ | Kernel |
مكونات الذراع
تؤثر نقاط الضعف هذه في مكوّنات "الذراع" وتتوفّر المزيد من التفاصيل من خلال "الذراع" مباشرةً. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل شركة Arm.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-0153 |
A-302570828 * | عالٍ | مالي |
| CVE-2024-4610 |
A-260126994 * | عالٍ | مالي |
تقنيات التخيل
تؤثر هذه الثغرات الأمنية في مكونات Imagination Technologies، وتتوفّر مزيد من التفاصيل مباشرةً من Imagination Technologies. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل Imagination Technologies.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-31334 |
A-337947582 * | عالٍ | وحدة معالجة رسومات PowerVR |
| CVE-2024-31335 |
A-337951645 * | عالٍ | وحدة معالجة رسومات PowerVR |
| CVE-2024-34724 |
A-331437482 * | عالٍ | وحدة معالجة رسومات PowerVR |
| CVE-2024-34725 |
A-331438755 * | عالٍ | وحدة معالجة رسومات PowerVR |
| CVE-2024-34726 |
A-331439207 * | عالٍ | وحدة معالجة رسومات PowerVR |
مكوِّنات MediaTek
تؤثر هذه الثغرات الأمنية في مكونات MediaTek، وتتوفّر تفاصيل إضافية من خلال MediaTek مباشرةً. تقدِّم MediaTek تقييمًا لمدى خطورة هذه المشاكل.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-20076 |
A-338887100 MOLY01297806 * |
عالٍ | المودم |
| CVE-2024-20077 |
A-338887097 MOLY01297807 * |
عالٍ | المودم |
مكونات Qualcomm
تؤثر هذه الثغرات الأمنية في مكونات Qualcomm ويتم وصفها بمزيد من التفاصيل في نشرة الأمان المناسبة أو تنبيه الأمان في Qualcomm. تقدِّم شركة Qualcomm تقييمًا لدرجة خطورة هذه المشاكل.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-23368 |
A-332315224 QC-CR#3522299 |
عالٍ | Kernel |
| CVE-2024-23372 |
A-332315102 QC-CR#3692589 [2] |
عالٍ | الشاشة |
| CVE-2024-23373 |
A-332315050 QC-CR#3692564 [2] |
عالٍ | الشاشة |
| CVE-2024-23380 |
A-332315362 QC-CR#3690718 [2] |
عالٍ | الشاشة |
مكونات Qualcomm مغلقة المصدر
تؤثر هذه الثغرات الأمنية في مكونات Qualcomm مغلقة المصدر ويتم وصفها بمزيد من التفصيل في نشرة الأمان المناسبة أو تنبيه الأمان من Qualcomm. تقدِّم شركة Qualcomm تقييمًا لدرجة خطورة هذه المشاكل.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-21461 |
A-318393487 * | مهمة للغاية | مكوِّن مغلق المصدر |
| CVE-2024-21460 |
A-318393435 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2024-21462 |
A-318394116 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2024-21465 |
A-318393702 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2024-21469 |
A-318393825 * | عالٍ | مكوِّن مغلق المصدر |
الأسئلة الشائعة والإجابات عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني معرفة ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى رمز تصحيح أمان الجهاز، يُرجى الاطّلاع على التحقّق من إصدار Android وتحديثه.
- إنّ مستويات رمز تصحيح الأمان بتاريخ 01/7/2024 أو تاريخ لاحق تعالج جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان 2024-07-01.
- إنّ مستويات رموز تصحيح الأمان بتاريخ 05-07-2024 أو الإصدارات اللاحقة تعالج جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان 2024-07-05 وجميع مستويات رموز التصحيح السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة رمز التصحيح على:
- [ro.build.version.security_patch]:[2024-07-01]
- [ro.build.version.security_patch]:[2024-07-05]
على بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث، سيتضمّن تحديث نظام Google Play سلسلة تاريخ تتطابق مع مستوى رمز تصحيح الأمان 2024-07-01. يُرجى الاطّلاع على هذه المقالة لمعرفة مزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.
2. لماذا تحتوي هذه النشرة على مستويَين من رموز تصحيح الأمان؟
تحتوي هذه النشرة على مستويَين من رموز تصحيح الأمان لمنح شركاء Android المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة على جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بحلّ جميع المشاكل الواردة في هذه النشرة واستخدام أحدث مستوى من رمز تصحيح الأمان.
- إنّ الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-07-01 يجب أن تتضمّن جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- إنّ الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-07-05 أو إصدار أحدث يجب أن تتضمّن جميع رموز التصحيح السارية في نشرات الأمان هذه (والسابقة).
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. ما معنى الإدخالات في عمود النوع؟
تشير الإدخالات في العمود النوع ضمن جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز عن بعد |
| EoP | رفع الامتياز |
| رقم التعريف | الإفصاح عن المعلومات |
| الحرمان من الخدمات | الحرمان من الخدمة |
| ما مِن مدة | التصنيف غير متاح |
4. ما معنى الإدخالات في عمود المراجع؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية.
| بادئة | مَراجع |
|---|---|
| A- | معرّف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لـ NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
| U- | الرقم المرجعي لـ UNISOC |
5. ماذا تعني علامة * بجانب معرّف خطأ Android في عمود المراجع؟
وتظهر علامة * بجانب رقم التعريف المرجعي للمشاكل غير المتاحة للجميع. وبشكلٍ عام، يتضمّن التحديث المتعلّق بهذه المشكلة أحدث برامج التشغيل الثنائية لأجهزة Pixel والمتوفّرة من موقع Google Developer الإلكتروني.
6. لماذا يتم تقسيم الثغرات الأمنية بين هذه النشرة ونشرات أمان الجهاز أو الشريك، مثل نشرة Pixel؟
يجب ذكر الثغرات الأمنية الموثَّقة في هذا النشرة الأمنية مع الإفصاح عن أحدث مستوى لرمز تصحيح الأمان على أجهزة Android. لا يُشترط توفّر ثغرات أمنية إضافية تم توثيقها في نشرات أمان الجهاز أو الشريك للإعلان عن مستوى رمز التصحيح الأمني. قد تنشر أيضًا الشركات المصنّعة لأجهزة Android وشرائح الجمهور تفاصيل الثغرات الأمنية المتعلّقة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung.
الإصدارات
| الإصدار | التاريخ | Notes |
|---|---|---|
| 1 | 1 يوليو 2024 | تم نشر النشرة. |