منتشر شده در ۶ آوریل ۲۰۲۶ - بهروزرسانی شده در ۸ آوریل ۲۰۲۶
این بولتن امنیتی اندروید حاوی جزئیاتی از آسیبپذیریهای امنیتی است که دستگاههای اندروید را تحت تأثیر قرار میدهند. سطوح وصله امنیتی 2026-04-05 یا بالاتر، همه این مشکلات را برطرف میکنند. برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه، به بخش «بررسی و بهروزرسانی نسخه اندروید» مراجعه کنید.
ظرف ۴۸ ساعت پس از انتشار اولیه این بولتن، ما وصلههای کد منبع مربوطه را در مخزن پروژه متنباز اندروید (AOSP) منتشر خواهیم کرد. سپس این بولتن را با لینکهای AOSP اصلاح خواهیم کرد.
شدیدترین این مشکلات، یک آسیبپذیری امنیتی بحرانی در مؤلفهی Framework است که میتواند منجر به انکار سرویس محلی بدون نیاز به امتیازات اجرایی اضافی شود. برای بهرهبرداری نیازی به تعامل با کاربر نیست. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از این آسیبپذیری میتواند بر روی دستگاه آسیبدیده داشته باشد، با فرض اینکه اقدامات کاهشدهندهی آسیبپذیری پلتفرم و سرویس برای اهداف توسعه غیرفعال شده باشند یا با موفقیت دور زده شوند.
برای جزئیات بیشتر در مورد محافظتهای پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود میبخشند، به بخش راهکارهای کاهش خطرات اندروید و Google Play Protect مراجعه کنید.
ما حداقل یک ماه قبل از انتشار بولتن، شرکای اندرویدی خود را از تمام مشکلات مطلع میکنیم.
راهکارهای کاهش خطرات اندروید و سرویسهای گوگل
این خلاصهای از راهکارهای کاهش خطرات ارائه شده توسط پلتفرم امنیتی اندروید و سرویسهای محافظتی مانند Google Play Protect است. این قابلیتها احتمال سوءاستفاده موفقیتآمیز از آسیبپذیریهای امنیتی در اندروید را کاهش میدهند.
- سوءاستفاده از بسیاری از مشکلات در اندروید با پیشرفتهای نسخههای جدیدتر پلتفرم اندروید دشوارتر شده است. ما به همه کاربران توصیه میکنیم در صورت امکان، آخرین نسخه اندروید را بهروزرسانی کنند.
- تیم امنیتی اندروید به طور فعال از طریق Google Play Protect سوءاستفادهها را رصد میکند و به کاربران در مورد برنامههای بالقوه مضر هشدار میدهد. Google Play Protect به طور پیشفرض در دستگاههایی با سرویسهای موبایل گوگل فعال است و به ویژه برای کاربرانی که برنامهها را از خارج از Google Play نصب میکنند، بسیار مهم است.
جزئیات آسیبپذیری سطح وصله امنیتی ۰۱-۰۴-۲۰۲۶
In the sections below, we provide details for each of the security vulnerabilities that apply to the 2026-04-01 patch level. Vulnerabilities are grouped under the component they affect. Issues are described in the tables below and include CVE ID, associated references, type of vulnerability , severity , and updated AOSP versions (where applicable). When available, we link the public change that addressed the issue to the bug ID, like the AOSP change list. When multiple changes relate to a single bug, additional references are linked to numbers following the bug ID. Devices with Android 10 and later may receive security updates as well as Google Play system updates .
چارچوب
آسیبپذیری موجود در این بخش میتواند منجر به انکار سرویس محلی بدون نیاز به امتیازات اجرایی اضافی شود. برای بهرهبرداری نیازی به تعامل با کاربر نیست.
| سی وی ای | منابع | نوع | شدت | نسخههای AOSP بهروزرسانیشده |
|---|---|---|---|---|
| CVE-2026-0049 | A-456471290 [ 2 ] | داس | بحرانی | ۱۴، ۱۵، ۱۶، ۱۶-qpr2 |
بهروزرسانیهای سیستم گوگل پلی
هیچ مشکل امنیتی در بهروزرسانیهای سیستم گوگل پلی (پروژه اصلی) در این ماه برطرف نشده است.
جزئیات آسیبپذیری سطح وصله امنیتی 2026-04-05
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی که در سطح وصله 2026-04-05 اعمال میشوند را ارائه میدهیم. آسیبپذیریها بر اساس مؤلفهای که تحت تأثیر قرار میدهند، گروهبندی شدهاند. مشکلات در جداول زیر شرح داده شدهاند و شامل شناسه CVE، ارجاعات مرتبط، نوع آسیبپذیری ، شدت و نسخههای بهروزرسانیشده AOSP (در صورت وجود) میشوند. در صورت وجود، تغییر عمومی که به مشکل پرداخته است را به شناسه اشکال، مانند فهرست تغییرات AOSP، پیوند میدهیم. هنگامی که چندین تغییر مربوط به یک اشکال واحد باشد، ارجاعات اضافی به اعداد بعد از شناسه اشکال پیوند داده میشوند.
گوگل
این آسیبپذیری بر اجزای گوگل تأثیر میگذارد و جزئیات بیشتر مستقیماً از گوگل در دسترس است. ارزیابی شدت این مشکل مستقیماً توسط گوگل ارائه میشود.
| سی وی ای | منابع | شدت | زیرمولفه |
|---|---|---|---|
| CVE-2025-48651 | الف-۴۳۴۰۳۹۱۷۰ * | بالا | استرانگ باکس |
اجزای NXP
این آسیبپذیری اجزای NXP را تحت تأثیر قرار میدهد و جزئیات بیشتر مستقیماً از NXP در دسترس است. ارزیابی شدت این مشکل مستقیماً توسط NXP ارائه میشود.
| سی وی ای | منابع | شدت | زیرمولفه |
|---|---|---|---|
| CVE-2025-48651 | الف-۴۶۷۷۶۵۰۸۱ * | بالا | استرانگ باکس |
استیمیکروالکترونیک
این آسیبپذیری بر اجزای STMicroelectronics تأثیر میگذارد و جزئیات بیشتر مستقیماً از STMicroelectronics در دسترس است. ارزیابی شدت این مشکل مستقیماً توسط STMicroelectronics ارائه شده است.
| سی وی ای | منابع | شدت | زیرمولفه |
|---|---|---|---|
| CVE-2025-48651 | الف-۴۶۷۷۶۵۸۹۴ * | بالا | استرانگ باکس |
تالس
این آسیبپذیری بر اجزای Thales تأثیر میگذارد و جزئیات بیشتر مستقیماً از Thales در دسترس است. ارزیابی شدت این مشکل مستقیماً توسط Thales ارائه شده است.
| سی وی ای | منابع | شدت | زیرمولفه |
|---|---|---|---|
| CVE-2025-48651 | الف-۴۶۷۷۶۲۸۹ * | بالا | استرانگ باکس |
سوالات و پاسخهای رایج
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن برای شما پیش بیاید، پاسخ میدهد.
۱. چگونه میتوانم تشخیص دهم که آیا دستگاه من برای رفع این مشکلات بهروزرسانی شده است یا خیر؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بخش «بررسی و بهروزرسانی نسخه اندروید» مراجعه کنید.
- وصلههای امنیتی سطح 2026-04-01 یا بالاتر، تمام مشکلات مرتبط با سطح وصله امنیتی 2026-04-01 را برطرف میکنند.
- وصلههای امنیتی سطح 2026-04-05 یا بالاتر، تمام مشکلات مرتبط با وصله امنیتی سطح 2026-04-05 و تمام وصلههای قبلی را برطرف میکنند.
تولیدکنندگان دستگاههایی که این بهروزرسانیها را ارائه میدهند، باید سطح رشته پچ را روی موارد زیر تنظیم کنند:
- [ro.build.version.security_patch]:[2026-04-01]
- [ro.build.version.security_patch]:[2026-04-05]
For some devices on Android 10 or later, the Google Play system update will have a date string that matches the 2026-04-01 security patch level. Please see this article for more details on how to install security updates.
۲. چرا این بولتن دو سطح وصله امنیتی دارد؟
این بولتن دارای دو سطح وصله امنیتی است تا شرکای اندروید انعطافپذیری لازم را برای رفع سریعتر زیرمجموعهای از آسیبپذیریهایی که در تمام دستگاههای اندروید مشابه هستند، داشته باشند. از شرکای اندروید درخواست میشود که تمام مشکلات موجود در این بولتن را برطرف کرده و از آخرین سطح وصله امنیتی استفاده کنند.
- دستگاههایی که از سطح وصله امنیتی 2026-04-01 استفاده میکنند، باید تمام مشکلات مرتبط با آن سطح وصله امنیتی و همچنین رفع مشکلات گزارش شده در بولتنهای امنیتی قبلی را شامل شوند.
- دستگاههایی که از سطح وصله امنیتی 2026-04-05 یا جدیدتر استفاده میکنند، باید تمام وصلههای مربوطه در این بولتن امنیتی (و بولتنهای امنیتی قبلی) را شامل شوند.
به شرکا توصیه میشود که اصلاحات مربوط به همه مشکلاتی که به آنها میپردازند را در یک بهروزرسانی واحد ارائه دهند.
۳. منظور از ورودیهای ستون Type چیست؟
ورودیهای ستون نوع جدول جزئیات آسیبپذیری، طبقهبندی آسیبپذیری امنیتی را نشان میدهند.
| اختصار | تعریف |
|---|---|
| آر سی ای | اجرای کد از راه دور |
| ای او پی | ارتقاء امتیاز |
| شناسه | افشای اطلاعات |
| داس | عدم ارائه خدمات |
| ناموجود | طبقه بندی موجود نیست |
۴. منظور از ورودیهای ستون منابع چیست؟
ورودیهای زیر ستون References در جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشند که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | مرجع |
|---|---|
| الف- | شناسه اشکال اندروید |
| کنترل کیفیت- | شماره مرجع کوالکام |
| م- | شماره مرجع مدیاتک |
| ن- | شماره مرجع NVIDIA |
| ب- | شماره مرجع Broadcom |
| یو- | شماره مرجع UNISOC |
۵. علامت * در کنار شناسه اشکال اندروید در ستون منابع به چه معناست؟
مشکلاتی که به صورت عمومی در دسترس نیستند، علامت * در کنار شناسه مرجع مربوطه دارند. بهروزرسانی مربوط به آن مشکل معمولاً در جدیدترین درایورهای باینری برای دستگاههای پیکسل موجود در سایت توسعهدهندگان گوگل موجود است.
۶. چرا آسیبپذیریهای امنیتی بین این بولتن و بولتنهای امنیتی دستگاه/شریک، مانند بولتن پیکسل، تقسیم شدهاند؟
آسیبپذیریهای امنیتی که در این بولتن امنیتی مستند شدهاند، برای اعلام آخرین سطح وصله امنیتی در دستگاههای اندروید الزامی هستند. آسیبپذیریهای امنیتی اضافی که در بولتنهای امنیتی دستگاه/شریک مستند شدهاند، برای اعلام سطح وصله امنیتی الزامی نیستند. تولیدکنندگان دستگاهها و چیپستهای اندروید نیز ممکن است جزئیات آسیبپذیری امنیتی خاص محصولات خود، مانند گوگل ، هواوی ، الجی ، موتورولا ، نوکیا یا سامسونگ ، را منتشر کنند.
نسخهها
| نسخه | تاریخ | یادداشتها |
|---|---|---|
| ۱.۰ | ۶ آوریل ۲۰۲۶ | بولتن منتشر شد |
| ۱.۱ | ۸ آوریل ۲۰۲۶ | با لینکهای AOSP بهروزرسانی شد |