تحتوي "نشرة أمان Android" على تفاصيل الثغرات الأمنية التي تؤثر في أجهزة Android. تعمل مستويات رمز تصحيح الأمان بتاريخ 2024-08-05 أو الإصدارات الأحدث على حلّ جميع هذه المشاكل. لمعرفة كيفية التحقّق من مستوى رمز تصحيح الأمان على جهاز، راجِع المقالة التحقّق من إصدار Android وتحديثه.
يتم إعلام شركاء Android بجميع المشاكل قبل شهر واحد على الأقل من نشر التطبيق. سيتم طرح حِزم تصحيح للرمز المصدري لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) خلال الـ 48 ساعة القادمة. سنعدّل هذا النشرة الإخبارية ونضيف إليها روابط AOSP عندما تصبح متاحة.
أخطر هذه المشاكل هي ثغرة أمنية كبيرة في مكوّن Framework يمكن أن تؤدي إلى تصعيد امتيازات محلية بدون الحاجة إلى امتيازات تنفيذ إضافية. يستند تقييم الخطورة إلى التأثير المحتمل الذي قد يحدثه استغلال الثغرة الأمنية على جهاز متأثر، وذلك بافتراض إيقاف إجراءات التخفيف من المخاطر على مستوى النظام الأساسي والخدمة لأغراض التطوير أو في حال تم تجاوزها بنجاح.
راجِع قسم إجراءات التخفيف من المخاطر في Android وGoogle Play للحصول على تفاصيل حول وسائل الحماية في منصة أمان Android وGoogle Play للحماية، والتي تعمل على تحسين أمان نظام Android الأساسي.
إجراءات التخفيف من المخاطر في Android وخدمات Google
في ما يلي ملخّص لوسائل الحدّ من المخاطر التي توفّرها منصة أمان Android ووسائل الحماية التي توفّرها الخدمات، مثل Google Play للحماية. وتقلّل هذه الإمكانات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.
- تساهم التحسينات التي تم إجراؤها في الإصدارات الأحدث من نظام Android الأساسي في الحد من استغلال العديد من المشاكل على Android. ننصح جميع المستخدمين بالتحديث إلى أحدث إصدار من Android متى أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط أي إساءة استخدام من خلال Google Play للحماية، ويحذّر المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة. يتم تفعيل خدمة "Google Play للحماية" تلقائيًا على الأجهزة التي تتضمّن خدمات Google للأجهزة الجوّالة، وهي مهمة بشكل خاص للمستخدمين الذين يثبّتون التطبيقات من خارج Google Play.
تفاصيل الثغرة الأمنية لمستوى رمز تصحيح الأمان بتاريخ 2024-08-01
في الأقسام أدناه، نقدّم تفاصيل حول كل ثغرة أمنية تنطبق على مستوى تصحيح الأمان بتاريخ 2024-08-01. يتم تجميع الثغرات الأمنية ضمن المكوّن الذي تتأثر به. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والمراجع المرتبطة ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). عند توفّرها، نربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلّق تغييرات متعدّدة بخطأ واحد، تتم إضافة مراجع أخرى إلى الأرقام التي تلي معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات الأمان وتحديثات نظام Google Play.
Framework
يمكن أن يؤدي أشد الثغرات الأمنية خطورة في هذا القسم إلى تصعيد امتيازات محلية بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | مرتفع | 12 و12L و13 و14 |
| CVE-2023-21351 | A-232798676 | EoP | مرتفع | 12 و12L و13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | مرتفع | 12 و12L و13 و14 |
| CVE-2024-34734 | A-304772709 | EoP | مرتفع | 13 و14 |
| CVE-2024-34735 | A-336490997 | EoP | مرتفع | 12 و12L و13 |
| CVE-2024-34737 | A-283103220 | EoP | مرتفع | 12 و12L و13 و14 |
| CVE-2024-34738 | A-336323279 | EoP | مرتفع | 13 و14 |
| CVE-2024-34740 | A-307288067 [2] | EoP | مرتفع | 12 و12L و13 و14 |
| CVE-2024-34741 | A-318683640 | EoP | مرتفع | 12 و12L و13 و14 |
| CVE-2024-34743 | A-336648613 | EoP | مرتفع | 14 |
| CVE-2024-34736 | A-288549440 | رقم التعريف | مرتفع | 12 و12L و13 و14 |
| CVE-2024-34742 | A-335232744 | DoS | مرتفع | 14 |
النظام
يمكن أن يؤدي الثغرة الأمنية في هذا القسم إلى الكشف عن المعلومات عن بُعد بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | رقم التعريف | مرتفع | 12 و12L و13 و14 |
تحديثات نظام Google Play
لم يتم تناول أي مشاكل أمان في تحديثات نظام Google Play (Project Mainline) لهذا الشهر.
تفاصيل الثغرة الأمنية لمستوى رمز تصحيح الأمان بتاريخ 2024-08-05
في الأقسام أدناه، نقدّم تفاصيل حول كل ثغرة أمنية تنطبق على مستوى تصحيح الأمان بتاريخ 2024-08-05. يتم تجميع الثغرات الأمنية ضمن المكوّن الذي تتأثر به. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والمراجع المرتبطة ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). عند توفّرها، نربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلّق تغييرات متعدّدة بخطأ واحد، تتم إضافة مراجع أخرى إلى الأرقام التي تلي معرّف الخطأ.
Kernel
يمكن أن تؤدي الثغرة الأمنية في هذا القسم إلى تنفيذ الرمز عن بُعد مع الحاجة إلى امتيازات تنفيذ النظام.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 نواة المصدر [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | مرتفع | Kernel |
مكوّنات Arm
تؤثر هذه الثغرات الأمنية في مكونات Arm، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من Arm. وتقدّم شركة Arm تقييمًا لمدى خطورة هذه المشاكل.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | مرتفع | مالي |
| CVE-2024-4607 |
A-339869945 * | مرتفع | مالي |
Imagination Technologies
تؤثّر هذه الثغرة الأمنية في مكوّنات Imagination Technologies، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من Imagination Technologies. يتم تقديم تقييم خطورة هذه المشكلة مباشرةً من قِبل شركة Imagination Technologies.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | مرتفع | PowerVR-GPU |
مكوّنات MediaTek
تؤثر هذه الثغرة الأمنية في مكوّنات MediaTek، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من MediaTek. تقدّم شركة MediaTek تقييم خطورة هذه المشكلة مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
مرتفع | مودم |
مكوّنات Qualcomm
تؤثر هذه الثغرات الأمنية في مكوّنات Qualcomm، ويمكن الاطّلاع على تفاصيل إضافية عنها في نشرة أمان Qualcomm أو تنبيه الأمان المناسبَين. وتقدّم شركة Qualcomm تقييمًا لمدى خطورة هذه المشاكل.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
مرتفع | الشاشة |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
مرتفع | الشاشة |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
مرتفع | الشاشة |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
مرتفع | الشاشة |
| CVE-2024-23384 |
A-339043323
QC-CR#3704870 [2] [3] [4] |
مرتفع | الشاشة |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
مرتفع | شبكة WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
مرتفع | شبكة WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
مرتفع | شبكة WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
مرتفع | شبكة WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
مرتفع | شبكة WLAN |
| CVE-2024-33015 |
A-339043107
QC-CR#3710080 |
مرتفع | شبكة WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
مرتفع | شبكة WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
مرتفع | شبكة WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
مرتفع | شبكة WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
مرتفع | الشاشة |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
مرتفع | شبكة WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
مرتفع | شبكة WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
مرتفع | شبكة WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
مرتفع | الشاشة |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
مرتفع | الشاشة |
مكوّنات Qualcomm المغلقة المصدر
تؤثّر هذه الثغرات الأمنية في مكوّنات Qualcomm ذات المصدر المغلق، ويتم توضيحها بمزيد من التفاصيل في نشرة أمان Qualcomm أو تنبيه الأمان المناسبَين. تقدّم شركة Qualcomm تقييمًا لمدى خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | مهم | مكوّن مغلق المصدر |
| CVE-2024-21481 |
A-323918669 * | مرتفع | مكوّن مغلق المصدر |
| CVE-2024-23352 |
A-323918787 * | مرتفع | مكوّن مغلق المصدر |
| CVE-2024-23353 |
A-323918845 * | مرتفع | مكوّن مغلق المصدر |
| CVE-2024-23355 |
A-323918338 * | مرتفع | مكوّن مغلق المصدر |
| CVE-2024-23356 |
A-323919081 * | مرتفع | مكوّن مغلق المصدر |
| CVE-2024-23357 |
A-323919249 * | مرتفع | مكوّن مغلق المصدر |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذا النشرة.
1. كيف يمكنني تحديد ما إذا كان جهازي محدَّثًا لحلّ هذه المشاكل؟
للتعرّف على كيفية التحقّق من مستوى رمز تصحيح الأمان على جهاز، يمكنك الاطّلاع على مقالة التحقّق من إصدار Android وتحديثه.
- تعالج مستويات رمز تصحيح الأمان بتاريخ 2024-08-01 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان بتاريخ 2024-08-01.
- تعالج مستويات رمز تصحيح الأمان بتاريخ 2024-08-05 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان بتاريخ 2024-08-05 وجميع مستويات رمز تصحيح الأمان السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة التصحيح على ما يلي:
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
على بعض الأجهزة التي تعمل بالإصدار 10 من نظام التشغيل Android أو الإصدارات الأحدث، سيتضمّن تحديث نظام Google Play سلسلة تاريخ تتطابق مع مستوى رموز تصحيح الأمان بتاريخ 2024-08-01. يُرجى الاطّلاع على هذه المقالة للحصول على مزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.
2. لماذا يتضمّن نشرة الأمان هذه مستويَين من تصحيحات الأمان؟
تتضمّن هذه النشرة مستويَين لرموز تصحيح الأمان، ما يتيح لشركاء Android المرونة في إصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بإصلاح جميع المشاكل الواردة في هذه النشرة واستخدام أحدث مستوى لرمز تصحيح الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى رموز تصحيح الأمان 2024-08-01 جميع المشاكل المرتبطة بمستوى رموز تصحيح الأمان هذا، بالإضافة إلى حلول لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى رمز تصحيح الأمان بتاريخ 2024-08-05 أو أحدث جميع رموز التصحيح السارية في نشرة الأمان هذه (والنشرات السابقة).
ننصح الشركاء بتجميع الحلول لجميع المشاكل التي يعالجونها في تحديث واحد.
3. ماذا تعني الإدخالات في عمود النوع؟
تشير الإدخالات في عمود النوع ضمن جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز عن بعد |
| EoP | تعلية الامتيازات |
| رقم التعريف | الإفصاح عن المعلومات |
| DoS | رفض الخدمة |
| لا ينطبق | التصنيف غير متوفّر |
4. ما هي المعلومات الواردة في عمود المراجع؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدّد المؤسسة التي تنتمي إليها قيمة المرجع.
| بادئة | مراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | رقم مرجع MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | رقم Broadcom المرجعي |
| U- | الرقم المرجعي لـ UNISOC |
5. ماذا تعني علامة النجمة (*) بجانب رقم تعريف خطأ Android في عمود المراجع؟
تحتوي المشاكل غير المتاحة للجميع على علامة النجمة (*) بجانب رقم التعريف المرجعي الخاص بها. يتضمّن أحدث إصدار من برامج تشغيل Pixel الثنائية المتاحة على موقع Google Developers الإلكتروني عادةً تحديثًا لحلّ هذه المشكلة.
6- لماذا يتم تقسيم الثغرات الأمنية بين هذه النشرة ونشرات الأمان الخاصة بالأجهزة أو الشركاء، مثل نشرة Pixel؟
يجب الإفصاح عن مستوى رموز تصحيح الأمان الأحدث على أجهزة Android عند توثيق الثغرات الأمنية في نشرة الأمان هذه. لا يلزم توفّر ثغرات أمنية إضافية، مثل تلك الموضّحة في نشرات أمان الجهاز أو الشريك، لتحديد مستوى رمز تصحيح الأمان. قد تنشر الشركات المصنّعة لأجهزة Android وشرائح المعالجة أيضًا تفاصيل حول الثغرات الأمنية الخاصة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung.
الإصدارات
| الإصدار | التاريخ | ملاحظات |
|---|---|---|
| 1.0 | 5 أغسطس 2024 | تم نشر النشرة. |
| 1.1 | 24 أكتوبر 2024 | تم تعديل جدول الثغرات الأمنية الشائعة |