نشرة أمان Wear OS - أيار (مايو) 2024

تاريخ النشر: 6 مايو 2024

تحتوي "نشرة أمان Wear OS" على تفاصيل الثغرات الأمنية التي تؤثّر في منصة Wear OS. يتضمّن تحديث Wear OS الكامل مستوى رمز تصحيح الأمان بتاريخ ‎2024-05-05 أو أحدث من نشرة أمان Android لشهر أيار (مايو) 2024 بالإضافة إلى جميع المشاكل الواردة في هذه النشرة.

ننصح جميع العملاء بقبول هذه التحديثات على أجهزتهم.

وأخطر هذه المشاكل هي ثغرة أمنية خطيرة في مكوّن Framework يمكن أن تؤدي إلى تصعيد امتيازات محلية من خلال تطبيق ضار بدون الحاجة إلى امتيازات تنفيذ إضافية. يستند تقييم الخطورة إلى التأثير المحتمل لاستغلال الثغرة الأمنية على الجهاز المتأثر، على افتراض إيقاف إجراءات التخفيف من المخاطر في النظام الأساسي والخدمة لأغراض التطوير أو في حال تجاوزها بنجاح.

الإشعارات

  • بالإضافة إلى الثغرات الأمنية الموضّحة في "نشرة أمان Android" لشهر مايو 2024، تتضمّن "نشرة أمان Wear OS" لشهر مايو 2024 أيضًا رموز تصحيح خاصة بثغرات Wear OS الأمنية كما هو موضّح أدناه.

تفاصيل الثغرة الأمنية لمستوى رمز تصحيح الأمان بتاريخ 2024-05-01

في الأقسام أدناه، نقدّم تفاصيل حول كل الثغرات الأمنية التي تنطبق على مستوى رمز تصحيح الأمان بتاريخ 2024-05-01. يتم تجميع الثغرات الأمنية ضمن المكوِّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والمراجع المرتبطة به ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). عند توفّرها، نربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلّق تغييرات متعدّدة بخطأ واحد، تتم إضافة مراجع إضافية إلى الأرقام التي تلي معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات الأمان بالإضافة إلى تحديثات نظام Google Play.

Framework

يمكن أن يؤدي أشد الثغرات الأمنية خطورةً في هذا القسم إلى تصعيد الامتيازات المحلية من خلال تطبيق ضار بدون الحاجة إلى امتيازات تنفيذ إضافية.

CVE المراجع النوع درجة الخطورة إصدارات AOSP المعدَّلة
CVE-2024-23700 A-310634539 رقم التعريف مهم 13
CVE-2024-23703 A-268737818 EoP مرتفع 13

النظام

يمكن أن يؤدي أشد الثغرات الأمنية خطورةً في هذا القسم إلى تصعيد الامتيازات المحلية بدون الحاجة إلى امتيازات تنفيذ إضافية.

CVE المراجع النوع درجة الخطورة إصدارات AOSP المعدَّلة
CVE-2024-23701 A-300267802 EoP مرتفع 13
CVE-2024-23702 A-290819041 EoP مرتفع 13

الأسئلة والأجوبة الشائعة

يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذا النشرة.

1. كيف يمكنني معرفة ما إذا تم تحديث جهازي لمعالجة هذه المشاكل؟

لمعرفة كيفية التحقّق من مستوى رموز تصحيح الأمان على جهاز، يُرجى قراءة التعليمات الواردة في جدول تحديثات أجهزة Google.

  • تعمل مستويات رمز تصحيح الأمان بتاريخ 2024-05-01 أو الإصدارات الأحدث على حلّ جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان بتاريخ 2024-05-01.

على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]:[2024-05-01]

بالنسبة إلى بعض الأجهزة التي تعمل بالإصدار 10 من نظام التشغيل Android أو الإصدارات الأحدث، سيتضمّن تحديث نظام Google Play سلسلة تاريخ تتطابق مع مستوى رمز تصحيح الأمان 2024-05-01. يُرجى الاطّلاع على هذه المقالة لمعرفة المزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.

2. ما هي معاني الإدخالات في عمود النوع؟

تشير الإدخالات في عمود النوع ضمن جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.

الاختصار التعريف
RCE تنفيذ الرمز عن بعد
EoP تعلية الامتيازات
رقم التعريف الإفصاح عن المعلومات
DoS رفض الخدمة
لا ينطبق التصنيف غير متوفّر

3. ماذا تعني الإدخالات في عمود المراجع؟

قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدّد المؤسسة التي ينتمي إليها مرجع القيمة.

بادئة مراجع
A-‎ رقم تعريف الخطأ في Android
QC- الرقم المرجعي لشركة Qualcomm
M- رقم مرجع MediaTek
N- الرقم المرجعي لشركة NVIDIA
B-‎ رقم Broadcom المرجعي
U- الرقم المرجعي لـ UNISOC

4. ماذا تعني علامة النجمة (*) بجانب رقم تعريف خطأ Android في عمود المراجع؟

تحتوي المشاكل غير المتاحة للجميع على علامة النجمة (*) بجانب رقم التعريف المرجعي الخاص بها. يتضمّن أحدث برنامج تشغيل ثنائي لأجهزة Pixel متاح على موقع Google Developers الإلكتروني عادةً التحديث الخاص بهذه المشكلة.

5. لماذا يتم تقسيم الثغرات الأمنية بين هذه النشرة ونشرات الأمان الخاصة بالأجهزة/الشركاء، مثل نشرة Pixel؟

يجب الإفصاح عن مستوى رموز تصحيح الأمان الأحدث على أجهزة Android عند توثيق الثغرات الأمنية في نشرة الأمان هذه. لا يلزم توفّر ثغرات أمنية إضافية موثّقة في نشرات أمان الأجهزة أو الشركاء لتحديد مستوى رمز تصحيح الأمان. قد تنشر الشركات المصنّعة لأجهزة Android وشرائح المعالجة أيضًا تفاصيل حول الثغرات الأمنية الخاصة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung.

الإصدارات

الإصدار التاريخ ملاحظات
1.0 ‫6 مايو 2024 تم نشر النشرة.