نشرة أمان Android|كانون الثاني (يناير) 2025

تاريخ النشر: 6 كانون الثاني (يناير) 2025

يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. تعالج جميع هذه المشاكل مستويات تصحيح الأمان بتاريخ 05‏-01‏-2025 أو الإصدارات الأحدث. للتعرّف على كيفية معرفة مستوى تصحيح الأمان على الجهاز، اطّلِع على المقالة التحقّق من إصدار Android على جهازك وتحديثه.

يتم إشعار شركاء Android بجميع المشاكل قبل شهر واحد على الأقل من نشرها. سيتم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) خلال الـ 48 ساعة القادمة. سنعدّل هذه النشرة من خلال إضافة روابط AOSP عندما تصبح متاحة.

إنّ أخطر هذه المشاكل هي ثغرة أمنية خطيرة في مكوّن "النظام" يمكن أن تؤدي إلى تنفيذ رمز برمجي عن بُعد (قريب/مجاور) بدون الحاجة إلى امتيازات تنفيذ إضافية. يستند تقييم الخطورة إلى التأثير الذي قد ينتج عن استغلال الثغرة الأمنية في أحد الأجهزة المتأثرة، بافتراض أنّه تم إيقاف تدابير التخفيف من مخاطر المنصة والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

يُرجى الرجوع إلى قسم إجراءات التخفيف في Android و"Google Play للحماية" لمعرفة تفاصيل عن وسائل حماية منصّة Android للأمان و"Google Play للحماية"، اللتين تُحسِّنان من أمان نظام Android الأساسي.

إجراءات التخفيف في Android وخدمات Google

في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android الأساسي وخدمات الحماية، مثل Google Play للحماية. تقلِّل هذه الإمكانات من احتمالية استغلال نقاط ضعف الأمان بنجاح على Android.

  • أصبح من الصعب استغلال العديد من المشاكل على Android بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. وننصحك جميع المستخدمين بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
  • يرصد فريق أمان Android إساءة الاستخدام بشكل نشط من خلال Google Play للحماية ويحذّر المستخدمين بشأن التطبيقات التي يُحتمل أن تكون ضارة. تكون خدمات "Google Play للحماية" مفعّلة تلقائيًا على الأجهزة التي تعمل باستخدام خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبّتون التطبيقات من خارج "Google Play".

تفاصيل الثغرة الأمنية في مستوى رمز تصحيح الأمان بتاريخ 01‏-01‏-2025

في الأقسام أدناه، نقدّم تفاصيل عن كل من ثغرات الأمان التي تنطبق على مستوى التصحيح ‎2025-01-01. يتم تجميع الثغرات الأمنية ضمن المكوّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والإحالات المرتبطة به ونوع الثغرة الأمنية ومستوى خطورتها وإصدارات AOSP المعدَّلة (إن أمكن). نربط التغيير العلني الذي عالج المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بالإصدار 10 من Android والإصدارات الأحدث تحديثات أمان بالإضافة إلى تحديثات نظام Google Play.

إطار العمل

يمكن أن تؤدي أشد الثغرات خطورة في هذا القسم إلى تصعيد الامتيازات على مستوى الجهاز بدون الحاجة إلى امتيازات تنفيذ إضافية.
CVE المراجع النوع درجة الخطورة إصدارات AOSP المعدَّلة
CVE-2024-49724 A-369351375 EoP عالية ‫12, 12L, 13, 14, 15
CVE-2024-49732 A-371975420 EoP عالية 15
CVE-2024-49735 A-345881518 EoP عالية 15
CVE-2024-49737 A-369103643 EoP عالية 13 و14 و15
CVE-2024-49738 A-370840874 EoP عالية ‫12, 12L, 13, 14, 15
CVE-2024-49744 A-360846772 EoP عالية ‫12، 12L، 13، 14، 15
CVE-2024-49745 A-370831157 EoP عالية ‫12, 12L, 13, 14, 15
CVE-2023-40108 A-227201030 رقم التعريف عالية ‫12, 12L, 13, 14
CVE-2024-49733 A-365738306 رقم التعريف عالية ‫12, 12L, 13, 14, 15

إطار عمل الوسائط

يمكن أن تؤدي الثغرة الأمنية في هذا القسم إلى تصعيد الامتيازات على مستوى الجهاز بدون الحاجة إلى امتيازات تنفيذ إضافية.
CVE المراجع النوع درجة الخطورة إصدارات AOSP المعدَّلة
CVE-2023-40132 A-205837340 EoP عالية ‫12, 12L, 13, 14

النظام

يمكن أن تؤدي أشد الثغرات خطورة في هذا القسم إلى تنفيذ تعليمات برمجية عن بُعد (قريبة/مجاورة) بدون الحاجة إلى امتيازات تنفيذ إضافية.
CVE المراجع النوع درجة الخطورة إصدارات AOSP المعدَّلة
CVE-2024-43096 A-323850943 RCE حرج ‫12, 12L, 13, 14, 15
CVE-2024-43770 A-364026473 RCE حرج ‫12, 12L, 13, 14, 15
CVE-2024-43771 A-364027949 RCE حرج ‫12, 12L, 13, 14, 15
CVE-2024-49747 A-364027038 RCE حرج ‫12, 12L, 13, 14, 15
CVE-2024-49748 A-364025411 RCE حرج ‫12, 12L, 13, 14, 15
CVE-2024-49749 A-355461643 RCE عالية ‫12, 12L, 13, 14, 15
CVE-2024-34722 A-251514170 EoP عالية ‫12, 12L, 13, 14
CVE-2024-34730 A-308429049 EoP عالية ‫12, 12L, 13, 14
CVE-2024-43095 A-340480881 EoP عالية ‫12, 12L, 13, 14, 15
CVE-2024-43765 A-233605527 EoP عالية ‫12, 12L, 13, 14, 15
CVE-2024-49742 A-363248394 EoP عالية ‫12, 12L, 13, 14, 15
CVE-2024-49734 A-193031925 رقم التعريف عالية 14، 15
CVE-2024-43763 A-356886209 DoS عالية ‫12, 12L, 13, 14, 15
CVE-2024-49736 A-316578327 DoS عالية ‫12, 12L, 13, 14

تحديثات نظام Google Play

يتم تضمين المشاكل التالية في مكونات Project Mainline.

المكوّن الفرعي CVE
واجهة مستخدم "مستندات Google" CVE-2024-43765
أداة التحكّم في الأذونات CVE-2024-43095

تفاصيل الثغرة الأمنية في مستوى رمز تصحيح الأمان بتاريخ 05‏-01‏-2025

في الأقسام أدناه، نقدّم تفاصيل عن كل من ثغرات الأمان التي تنطبق على مستوى التصحيح في 05‏-01‏-2025. يتم تجميع الثغرات الأمنية ضمن المكوّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والإحالات المرتبطة به ونوع الثغرة الأمنية ومستوى خطورتها وإصدارات AOSP المعدَّلة (إن أمكن). نربط التغيير العلني الذي عالج المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

Imagination Technologies

تؤثر هذه الثغرة الأمنية في مكونات Imagination Technologies وتتوفّر تفاصيل إضافية مباشرةً من Imagination Technologies. يتم تقديم تقييم خطورة هذه المشكلة مباشرةً من قِبل Imagination Technologies.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-43704
A-363073314 * عالية وحدة معالجة الرسومات PowerVR

مكونات MediaTek

تؤثر هذه الثغرات الأمنية في مكونات MediaTek، ويمكنك الحصول على مزيد من التفاصيل من MediaTek مباشرةً. تقدّم شركة MediaTek مباشرةً تقييمًا لشدّة هذه المشاكل.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-20154
A-376809176
M-MOLY00720348 *
حرج المودم
CVE-2024-20146
A-376814209
M-ALPS09137491 *
عالية wlan
CVE-2024-20148
A-376814212
M-ALPS09136494 *
عالية wlan
CVE-2024-20105
A-376821905
M-ALPS09062027 *
عالية m4u
CVE-2024-20140
A-376816308
M-ALPS09270402 *
عالية الطاقة
CVE-2024-20143
A-376814208
M-ALPS09167056 *
عالية DA
CVE-2024-20144
A-376816309
M-ALPS09167056 *
عالية DA
CVE-2024-20145
A-376816311
M-ALPS09290940 *
عالية DA

مكونات Qualcomm

تؤثر هذه الثغرات الأمنية في مكوّنات Qualcomm ويتم وصفها بالتفصيل في نشرة أمان Qualcomm المناسبة أو تنبيه الأمان. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل شركة Qualcomm.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-21464
A-350500921
QC-CR#3445828
عالية Kernel
CVE-2024-45553
A-372003017
QC-CR#3845043 [2]
عالية Kernel
CVE-2024-45558
A-372002616
QC-CR#3852338
عالية شبكة WLAN

الأسئلة الشائعة والإجابات

يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذه النشرة.

1. كيف يمكنني معرفة ما إذا كان جهازي محدّثًا لمعالجة هذه المشاكل؟

لمعرفة كيفية التحقّق من مستوى تحديث الأمان على الجهاز، اطّلِع على مقالة التحقّق من إصدار Android على جهازك وتحديثه.

  • تعالج مستويات تصحيحات الأمان بتاريخ 1-01-2025 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 1-01-2025.
  • تعالج مستويات تصحيحات الأمان بتاريخ 05‏-01‏-2025 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05‏-01‏-2025 و جميع مستويات التصحيحات السابقة.

على مصنعي الأجهزة الذين يضيفون هذه التعديلات ضبط مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]:[2025-01-01]
  • [ro.build.version.security_patch]:[2025-01-05]

في بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث، سيتضمّن تحديث نظام Google Play سلسلة تاريخ تتطابق مع مستوى تصحيح الأمان بتاريخ ‎01-01-2025. يُرجى الاطّلاع على هذه المقالة للحصول على مزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.

2. لماذا تتضمّن هذه النشرة إشعارَين بمستوى تصحيح أمان؟

تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان ليتمكّن شركاء Android من إصلاح مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصحك بحلّ جميع المشاكل الواردة في هذه النشرة واستخدام أحدث مستوى من تصحيحات الأمان.

  • يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان ‎2025-01-01 جميع المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان ‎05‏-01‏-2025 أو إصدارًا أحدث جميع الرموز المتاحة لتصحيح الأخطاء في نشرة الأمان هذه (و النشرات السابقة).

ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.

3. ما معنى الإدخالات في عمود النوع؟

تشير الإدخالات في عمود النوع في جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.

الاختصار التعريف
RCE تنفيذ الرمز البرمجي عن بُعد
EoP تجاوز الأذونات
رقم التعريف الإفصاح عن المعلومات
DoS حجب الخدمة
لا ينطبق التصنيف غير متاح

4. ما المقصود بالإدخالات في عمود المراجِع؟

قد تحتوي الإدخالات ضمن عمود المرجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية.

بادئة مَراجع
A-‎ رقم تعريف الخطأ في Android
QC- الرقم المرجعي لشركة Qualcomm
M- الرقم المرجعي لشركة MediaTek
‫N-‎ الرقم المرجعي لشركة NVIDIA
B-‎ الرقم المرجعي لشركة Broadcom
U-‎ الرقم المرجعي لشركة UNISOC

5. ما المقصود بعلامة * بجانب رقم تعريف الخطأ في Android في عمود المرجع؟

تظهر علامة * بجانب الرقم التعريفي المرجعي المرتبط بالمشاكل التي لا تكون متاحة للجميع. يتضمّن تحديث هذه المشكلة بشكل عام أحدث برامج تشغيل ثنائية لأجهزة Pixel المتوفّرة من موقع Google Developer الإلكتروني.

6. لماذا يتم تقسيم الثغرات الأمنية بين هذه الرسالة الإخبارية ورسائل أمان الأجهزة / الشركاء ، مثل رسالة أمان Pixel؟

يجب الإفصاح عن مستوى آخر تصحيح أمان على أجهزة Android في ما يتعلّق بالثغرات الأمنية الموثَّقة في نشرة الأمان هذه. إنّ الثغرات الأمنية الإضافية التي يتم تسجيلها في نشرات أمان الجهاز أو الشريك ليست مطلوبة للإبلاغ عن مستوى تصحيح الأمان. قد ينشر أيضًا مصنعو أجهزة Android وشرائح المعالجة تفاصيل عن الثغرات الأمنية المتعلّقة بمنتجاتهم، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung.

الإصدارات

الإصدار التاريخ الملاحظات
1 6 يناير 2025 تم نشر النشرة