يتضمّن "نشرة أمان Android" تفاصيل حول الثغرات الأمنية التي تؤثر في أجهزة Android. تعمل مستويات تصحيح الأمان بتاريخ 2025-04-05 أو بعده على حلّ جميع هذه المشاكل. للتعرّف على كيفية التحقّق من مستوى رمز تصحيح الأمان على جهاز، يمكنك الاطّلاع على مقالة التحقّق من إصدار Android وتحديثه.
يتم إعلام شركاء Android بجميع المشاكل قبل شهر واحد على الأقل من النشر. سيتم إصدار تصحيحات لرمز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) خلال الـ 48 ساعة القادمة. سنعدّل هذا النشرة الأمنية ونضيف إليها روابط AOSP عندما تصبح متاحة.
وأخطر هذه المشاكل هي ثغرة أمنية خطيرة في مكون "النظام" يمكن أن تؤدي إلى تصعيد الامتيازات عن بُعد بدون الحاجة إلى امتيازات تنفيذ إضافية. لا يتطلّب الاستغلال تفاعل المستخدم. يستند تقييم الخطورة إلى التأثير المحتمل لاستغلال الثغرة الأمنية على الجهاز المتأثر، وذلك بافتراض إيقاف إجراءات التخفيف من المخاطر في النظام الأساسي والخدمة لأغراض التطوير أو في حال تم تجاوزها بنجاح.
راجِع قسم إجراءات التخفيف من المخاطر في Android و"Google Play للحماية" للتعرّف على تفاصيل إجراءات الحماية في منصة أمان Android و"Google Play للحماية"، والتي تعمل على تحسين أمان منصة Android.
إجراءات التخفيف من المخاطر في Android وخدمات Google
هذه هي ملخّص لإجراءات التخفيف التي يوفّرها نظام الأمان الأساسي في Android وإجراءات الحماية التي توفّرها الخدمات، مثل Google Play للحماية. وتقلّل هذه الإمكانات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.
- تساهم التحسينات التي تم إجراؤها في الإصدارات الأحدث من نظام Android الأساسي في الحدّ من استغلال العديد من المشاكل على Android. ننصح جميع المستخدمين بالتحديث إلى أحدث إصدار من Android متى أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط أي إساءة استخدام من خلال Google Play للحماية، ويحذّر المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة. يتم تفعيل خدمة "Google Play للحماية" تلقائيًا على الأجهزة التي تتضمّن خدمات Google للأجهزة الجوّالة، وهي مهمة بشكل خاص للمستخدمين الذين يثبّتون التطبيقات من خارج Google Play.
تفاصيل الثغرة الأمنية لمستوى رمز تصحيح الأمان بتاريخ 2025-04-01
في الأقسام أدناه، نقدّم تفاصيل حول كل ثغرة أمنية تنطبق على مستوى تصحيح الأمان بتاريخ 2025-04-01. يتم تجميع الثغرات الأمنية ضمن المكوِّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والمراجع المرتبطة به ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). عند توفّر التغيير العلني الذي عالج المشكلة، نربطه بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلّق تغييرات متعدّدة بخطأ واحد، تتم إضافة مراجع إضافية إلى الأرقام التي تلي معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات أمان بالإضافة إلى تحديثات نظام Google Play.
Framework
قد يؤدي أشد الثغرات الأمنية خطورةً في هذا القسم إلى تصعيد امتيازات محلية بدون الحاجة إلى امتيازات تنفيذ إضافية. لا يلزم تفاعل المستخدم للاستغلال.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2025-22429 | A-373357090 | رقم التعريف | حرِج | 13, 14, 15 |
| CVE-2025-22416 | A-277207798 | EoP | عالية | 13, 14, 15 |
| CVE-2025-22417 | A-332277530 | EoP | عالية | 14, 15 |
| CVE-2025-22422 | A-339532378 [2] | EoP | عالية | 13, 14, 15 |
| CVE-2025-22434 | A-378900798 | EoP | عالية | 14, 15 |
| CVE-2025-22437 | A-317203980 | EoP | عالية | 13 |
| CVE-2025-22438 | A-343129193 | EoP | عالية | 13، 14 |
| CVE-2025-22442 | A-382064697 | EoP | عالية | 13, 14, 15 |
| CVE-2024-49722 | A-341688848 [2] | رقم التعريف | عالية | 15 |
| CVE-2025-22421 | A-338024220 | رقم التعريف | عالية | 13, 14, 15 |
| CVE-2025-22430 | A-374257207 | رقم التعريف | عالية | 15 |
| CVE-2025-22431 | A-375623125 | DoS | عالية | 13, 14, 15 |
النظام
قد يؤدي أشد الثغرات الأمنية خطورةً في هذا القسم إلى تصعيد الامتيازات عن بُعد بدون الحاجة إلى امتيازات تنفيذ إضافية. لا يلزم تفاعل المستخدم للاستغلال.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | EoP | حرِج | 13, 14, 15 |
| CVE-2025-22423 | A-346797131 | DoS | حرِج | 13, 14, 15 |
| CVE-2024-40653 | A-293458004 [2] [3] | EoP | عالية | 13, 14, 15 |
| CVE-2024-49720 | A-355411348 | EoP | عالية | 13, 14, 15 |
| CVE-2024-49730 | A-284989074 | EoP | عالية | 13، 14 |
| CVE-2025-22418 | A-333344157 | EoP | عالية | 13، 14 |
| CVE-2025-22419 | A-335387175 | EoP | عالية | 13, 14, 15 |
| CVE-2025-22427 | A-368579654 | EoP | عالية | 13, 14, 15 |
| CVE-2025-22428 | A-372671447 | EoP | عالية | 13, 14, 15 |
| CVE-2025-22433 | A-376674080 [2] | EoP | عالية | 13, 14, 15 |
| CVE-2025-22435 | A-273995284 | EoP | عالية | 13, 14, 15 |
| CVE-2025-22439 | A-352294617 | EoP | عالية | 13, 14, 15 |
| CVE-2024-49728 | A-296915500 | رقم التعريف | عالية | 13, 14, 15 |
تحديثات نظام Google Play
يتم تضمين المشاكل التالية في مكونات Project Mainline.
| المكوّن الفرعي | CVE |
|---|---|
| واجهة مستخدم "مستندات Google" | CVE-2025-22439 |
| MediaProvider | CVE-2024-49730 |
| Permission Controller | CVE-2024-49720 |
تفاصيل الثغرة الأمنية في مستوى رمز تصحيح الأمان بتاريخ 2025-04-05
في الأقسام أدناه، نقدّم تفاصيل حول كل ثغرة أمنية تنطبق على مستوى تصحيح الأمان بتاريخ 2025-04-05. يتم تجميع الثغرات الأمنية ضمن المكوِّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والمراجع المرتبطة به ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). عند توفّر التغيير العلني الذي عالج المشكلة، نربطه بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلّق تغييرات متعدّدة بخطأ واحد، تتم إضافة مراجع إضافية إلى الأرقام التي تلي معرّف الخطأ.
فرقعة
قد يؤدي أشد الثغرات الأمنية خطورةً في هذا القسم إلى تصعيد امتيازات محلية بدون الحاجة إلى امتيازات تنفيذ إضافية. لا يلزم تفاعل المستخدم للاستغلال.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|---|
| CVE-2024-50264 | A-378870958
Upstream kernel |
EoP | عالية | الصافي |
| CVE-2024-53197 | A-382243530
Upstream kernel [2] |
EoP | عالية | USB |
| CVE-2024-56556 | A-380855429
نواة المصدر [2] |
EoP | عالية | Binder |
| CVE-2024-53150 | A-382239029
نواة المصدر [2] |
رقم التعريف | عالية | USB |
مكوّنات Arm
تؤثّر هذه الثغرة الأمنية في مكوّنات Arm، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من Arm. تقدّم شركة Arm تقييم خطورة هذه المشكلة مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2025-0050 |
A-384996147 * | عالية | مالي |
Imagination Technologies
تؤثّر هذه الثغرات الأمنية في مكوّنات Imagination Technologies، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من Imagination Technologies. تقدّم شركة Imagination Technologies تقييمًا لمدى خطورة هذه المشاكل.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-43702 |
A-363071287 * | عالية | PowerVR-GPU |
| CVE-2024-43703 |
A-366410795 * | عالية | PowerVR-GPU |
| CVE-2024-46972 |
A-374964509 * | عالية | PowerVR-GPU |
| CVE-2024-47897 |
A-381272263 * | عالية | PowerVR-GPU |
| CVE-2024-52936 |
A-380302155 * | عالية | PowerVR-GPU |
| CVE-2024-52937 |
A-381273105 * | عالية | PowerVR-GPU |
| CVE-2024-52938 |
A-380397760 * | عالية | PowerVR-GPU |
| CVE-2024-47894 |
A-382770071 * | عالية | PowerVR-GPU |
| CVE-2024-47895 |
A-380296167 * | عالية | PowerVR-GPU |
مكوّنات MediaTek
تؤثّر هذه الثغرات الأمنية في مكونات MediaTek، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من MediaTek. تقدّم شركة MediaTek تقييم خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2025-20656 |
A-393950961
M-ALPS09625423 * |
عالية | DA |
| CVE-2025-20657 |
A-393950963
M-ALPS09486425 * |
عالية | vdec |
| CVE-2025-20658 |
A-393950964
M-ALPS09474894 * |
عالية | DA |
| CVE-2025-20655 |
A-393950958
M-DTV04427687 * |
عالية | Keymaster |
مكوّنات Qualcomm
تؤثر هذه الثغرات الأمنية في مكوّنات Qualcomm، ويمكن الاطّلاع على تفاصيل إضافية في نشرة الأمان أو تنبيه الأمان المناسبَين من Qualcomm. تقدّم شركة Qualcomm تقييمًا لمدى خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-43066 |
A-372003347
QC-CR#3731804 |
عالية | برنامج الإقلاع |
| CVE-2024-49848 |
A-388048362
QC-CR#3908517 |
عالية | فرقعة |
| CVE-2025-21429 |
A-388048166
QC-CR#3960857 [2] |
عالية | شبكة WLAN |
| CVE-2025-21430 |
A-388047866
QC-CR#3910625 [2] |
عالية | شبكة WLAN |
| CVE-2025-21434 |
A-388048345
QC-CR#3918068 |
عالية | شبكة WLAN |
| CVE-2025-21435 |
A-388047607
QC-CR#3924648 |
عالية | شبكة WLAN |
| CVE-2025-21436 |
A-388048322
QC-CR#3927062 |
عالية | فرقعة |
مكوّنات Qualcomm المغلقة المصدر
تؤثر هذه الثغرات الأمنية في مكوّنات Qualcomm ذات المصدر المغلق، ويتم توضيحها بالتفصيل في نشرة أمان Qualcomm أو تنبيه الأمان المناسبَين. تقدّم شركة Qualcomm تقييمًا لمدى خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-45551 |
A-372002538 * | حرِج | مكوّن مغلق المصدر |
| CVE-2024-33058 |
A-372002796 * | عالية | مكوّن مغلق المصدر |
| CVE-2024-43065 |
A-372003122 * | عالية | مكوّن مغلق المصدر |
| CVE-2024-45549 |
A-372002818 * | عالية | مكوّن مغلق المصدر |
| CVE-2024-45552 |
A-372003503 * | عالية | مكوّن مغلق المصدر |
| CVE-2025-21448 |
A-388048021 * | عالية | مكوّن مغلق المصدر |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذا النشرة.
1. كيف يمكنني معرفة ما إذا تم تحديث جهازي لمعالجة هذه المشاكل؟
للتعرّف على كيفية التحقّق من مستوى رمز تصحيح الأمان على جهاز، يمكنك الاطّلاع على مقالة التحقّق من إصدار Android وتحديثه.
- تعالج مستويات رمز تصحيح الأمان بتاريخ 2025-04-01 أو بعده جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان بتاريخ 2025-04-01.
- تعالج مستويات رمز تصحيح الأمان بتاريخ 05-04-2025 أو بعده جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان بتاريخ 05-04-2025 وجميع مستويات رموز التصحيح السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة التصحيح على ما يلي:
- [ro.build.version.security_patch]:[2025-04-01]
- [ro.build.version.security_patch]:[2025-04-05]
في بعض أجهزة Android 10 أو الإصدارات الأحدث، سيتضمّن تحديث نظام Google Play سلسلة تاريخ تتطابق مع مستوى رمز تصحيح الأمان 2025-04-01. يُرجى الاطّلاع على هذه المقالة لمعرفة المزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.
2. لماذا يتضمّن نشرة الأمان هذه مستويَين لرمز تصحيح الأمان؟
يحتوي هذا النشرة على مستويَين لرموز تصحيح الأمان، ما يتيح لشركاء Android المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة في جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بإصلاح جميع المشاكل الواردة في هذا النشرة واستخدام أحدث مستوى من تصحيح الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2025-04-01 جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى رمز تصحيح الأمان بتاريخ 2025-04-05 أو أحدث جميع رموز التصحيح السارية في نشرات الأمان هذه (والنشرات السابقة).
ننصح الشركاء بتجميع الإصلاحات لكل المشاكل التي يعالجونها في تحديث واحد.
3. ماذا تعني الإدخالات في عمود النوع؟
تشير الإدخالات في عمود النوع ضمن جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز عن بُعد |
| EoP | تعلية الامتيازات |
| رقم التعريف | الإفصاح عن المعلومات |
| DoS | رفض الخدمة |
| لا ينطبق | التصنيف غير متوفّر |
4. ما المقصود بالإدخالات في عمود المراجع؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدّد المؤسسة التي ينتمي إليها مرجع القيمة.
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | MediaTek reference number |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
| U- | الرقم المرجعي لشركة UNISOC |
5. ماذا تعني العلامة النجمية (*) بجانب رقم تعريف خطأ Android في عمود المراجع؟
تحتوي المشاكل غير المتاحة للجميع على علامة النجمة (*) بجانب رقم التعريف المرجعي ذي الصلة. يتضمّن آخر إصدار من برامج التشغيل الثنائية لأجهزة Pixel المتاح على موقع "مطوّرو Google" الإلكتروني عادةً التحديث الخاص بهذه المشكلة.
6. لماذا يتم تقسيم الثغرات الأمنية بين هذا النشرة ونشرات الأمان الخاصة بالأجهزة أو الشركاء، مثل نشرة Pixel؟
يجب الإفصاح عن مستوى رمز تصحيح الأمان الأخير على أجهزة Android عند توثيق الثغرات الأمنية في نشرة الأمان هذه. لا يُشترَط توفُّر الثغرات الأمنية الإضافية الموضّحة في نشرات الأمان الخاصة بالجهاز أو الشريك لتحديد مستوى رمز تصحيح الأمان. قد تنشر الشركات المصنّعة لأجهزة Android وشرائح المعالجة أيضًا تفاصيل حول الثغرات الأمنية الخاصة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung.
الإصدارات
| الإصدار | التاريخ | الملاحظات |
|---|---|---|
| 1 | 7 أبريل 2025 | تم نشر نشرة |
| 1.1 | 8 أبريل 2025 | تمت إضافة روابط AOSP |
| 1.2 | 22 أبريل 2025 | تم تعديل جدول CVE |