نشرة Nexus الأمنية — أبريل 2016

تم النشر في 04 أبريل 2016 | تم التحديث في 19 ديسمبر 2016

لقد أصدرنا تحديثًا أمنيًا لأجهزة Nexus من خلال التحديث عبر الأثير (OTA) كجزء من عملية الإصدار الشهري لنشرة أمان Android. تم أيضًا إصدار صور البرامج الثابتة لـ Nexus على موقع Google Developer . تعالج مستويات تصحيح الأمان بتاريخ 02 أبريل 2016 أو الإصدارات الأحدث هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان).

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 16 مارس 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP).

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

ناقشت Android Security Advisory 2016-03-18 سابقًا استخدام CVE-2015-1805 من خلال تطبيق التجذير. تم حل CVE-2015-1805 في هذا التحديث. لم تكن هناك أي تقارير عن استغلال العملاء النشط أو إساءة استخدام المشكلات الأخرى التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات التخفيف للحصول على مزيد من التفاصيل حول عمليات حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet، التي تعمل على تحسين أمان نظام Android الأساسي.

التخفيف

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet، مما سيحذر المستخدم من اكتشاف تطبيقات قد تكون ضارة على وشك التثبيت. أدوات تأصيل الجهاز محظورة داخل Google Play. لحماية المستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play، يتم تمكين التحقق من التطبيقات افتراضيًا وسيحذر المستخدمين بشأن تطبيقات التجذير المعروفة. تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت مثل هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة أي من هذه التطبيقات.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل خادم الوسائط.

شكر وتقدير

يود فريق Android Security أن يشكر هؤلاء الباحثين على مساهماتهم:

يشكر فريق Android Security أيضًا Yuan-Tsung Lo و Wenke Dou وChiachih Wu ( @chiachih_wu ) وXuxian Jiang من فريق C0RE و Zimperium لمساهمتهم في CVE-2015-1805.

تفاصيل الثغرة الأمنية

تحتوي الأقسام أدناه على تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 02-04-2016. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن الأخطاء الشائعة، والأخطاء المرتبطة، وخطورة المشكلة، والإصدارات المتأثرة، وتاريخ الإبلاغ عنها. عندما يكون ذلك متاحًا، سنقوم بربط التزام AOSP الذي عالج المشكلة بمعرف الخطأ. عندما تتعلق تغييرات متعددة بخطأ واحد، يتم ربط مراجع AOSP الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في DHCPCD

قد تؤدي ثغرة أمنية في خدمة بروتوكول التكوين الديناميكي للمضيف إلى تمكين المهاجم من التسبب في تلف الذاكرة، مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بعد. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عميل DHCP. تتمتع خدمة DHCP بإمكانية الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.

مكافحة التطرف العنيف الأخطاء مع روابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2014-6060 الروبوت-15268738 شديد الأهمية 4.4.4 30 يوليو 2014
CVE-2014-6060 الروبوت-16677003 شديد الأهمية 4.4.4 30 يوليو 2014
CVE-2016-1503 الروبوت-26461634 شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 4 يناير 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في برنامج ترميز الوسائط

أثناء معالجة ملفات الوسائط والبيانات لملف تم إعداده خصيصًا، قد تسمح الثغرات الأمنية في برنامج ترميز الوسائط الذي يستخدمه خادم الوسائط للمهاجم بالتسبب في تلف الذاكرة وتنفيذ التعليمات البرمجية عن بُعد أثناء عملية خادم الوسائط.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.

تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق خدمة خادم الوسائط. تتمتع خدمة خادم الوسائط بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.

مكافحة التطرف العنيف حشرة خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0834 أندرويد-26220548* شديد الأهمية 6.0، 6.0.1 16 ديسمبر 2015

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver

أثناء معالجة ملفات الوسائط والبيانات لملف تم إعداده خصيصًا، قد تسمح الثغرات الأمنية في خادم الوسائط للمهاجم بالتسبب في تلف الذاكرة وتنفيذ التعليمات البرمجية عن بُعد أثناء عملية خادم الوسائط.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.

تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق خدمة خادم الوسائط. تتمتع خدمة خادم الوسائط بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.

مكافحة التطرف العنيف الأخطاء مع روابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0835 أندرويد-26070014 [ 2 ] شديد الأهمية 6.0، 6.0.1 6 ديسمبر 2015
CVE-2016-0836 الروبوت-25812590 شديد الأهمية 6.0، 6.0.1 19 نوفمبر 2015
CVE-2016-0837 الروبوت-27208621 شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 11 فبراير 2016
CVE-2016-0838 أندرويد-26366256 [ 2 ] شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية
CVE-2016-0839 الروبوت-25753245 شديد الأهمية 6.0، 6.0.1 جوجل الداخلية
CVE-2016-0840 الروبوت-26399350 شديد الأهمية 6.0، 6.0.1 جوجل الداخلية
CVE-2016-0841 الروبوت-26040840 شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libstagefright

أثناء معالجة ملفات الوسائط والبيانات لملف تم إعداده خصيصًا، قد تسمح الثغرات الأمنية في libstagefright للمهاجم بالتسبب في تلف الذاكرة وتنفيذ التعليمات البرمجية عن بُعد أثناء عملية خادم الوسائط.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.

تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق خدمة خادم الوسائط. تتمتع خدمة خادم الوسائط بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0842 الروبوت-25818142 شديد الأهمية 6.0، 6.0.1 23 نوفمبر 2015

رفع ثغرة الامتياز في Kernel

قد يؤدي ارتفاع ثغرة الامتيازات في kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية داخل kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، وقد يحتاج الجهاز إلى الإصلاح عن طريق إعادة تحديث نظام التشغيل. تم وصف هذه المشكلة في نصائح أمان Android 18-03-2016 .

مكافحة التطرف العنيف حشرة خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2015-1805 أندرويد-27275324* شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 19 فبراير 2016

* يتوفر التصحيح الموجود في AOSP لإصدارات محددة من kernel: 3.14 و 3.10 و 3.4 .

رفع ثغرة الامتياز في وحدة أداء Qualcomm

قد تؤدي زيادة ثغرة الامتياز في مكون إدارة أحداث الأداء لمعالجات ARM من Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية داخل kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، وقد يحتاج الجهاز إلى الإصلاح عن طريق إعادة تحديث نظام التشغيل.

مكافحة التطرف العنيف حشرة خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0843 أندرويد-25801197* شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 19 نوفمبر 2015

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في مكون Qualcomm RF

توجد ثغرة أمنية في برنامج تشغيل Qualcomm RF والتي قد تمكن تطبيقًا ضارًا محليًا من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، وقد يحتاج الجهاز إلى الإصلاح عن طريق إعادة تحديث نظام التشغيل.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0844 الروبوت-26324307 * شديد الأهمية 6.0، 6.0.1 25 ديسمبر 2015

* يوجد تصحيح إضافي لهذه المشكلة في نظام Linux الأساسي .

رفع ثغرة الامتياز في Kernel

قد يؤدي ارتفاع ثغرة الامتيازات في النواة الشائعة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في النواة. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز وقد يحتاج الجهاز إلى الإصلاح عن طريق إعادة تحديث نظام التشغيل.

مكافحة التطرف العنيف خطأ في روابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2014-9322 أندرويد-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
شديد الأهمية 6.0، 6.0.1 25 ديسمبر 2015

رفع ثغرة الامتياز في واجهة IMemory الأصلية

قد تؤدي زيادة ثغرة الامتياز في IMemory Native Interface إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0846 الروبوت-26877992 عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 29 يناير 2016

ارتفاع ثغرات الامتيازات في مكون الاتصالات

قد تؤدي زيادة ثغرة الامتياز في مكون الاتصالات إلى تمكين المهاجم من إجراء مكالمات تبدو وكأنها واردة من أي رقم عشوائي. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف خطأ في روابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0847 أندرويد-26864502 [ 2 ] عالي 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

رفع ثغرة الامتياز في مدير التنزيل

قد تؤدي زيادة ثغرة الامتيازات في مدير التنزيل إلى تمكين المهاجم من الوصول إلى الملفات غير المصرح بها في وحدة التخزين الخاصة. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0848 الروبوت-26211054 عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 14 ديسمبر 2015

رفع مستوى الضعف في الامتيازات في إجراءات الاسترداد

قد تؤدي زيادة ثغرة الامتياز في إجراء الاسترداد إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0849 الروبوت-26960931 عالي 5.0.2، 5.1.1، 6.0، 6.0.1 3 فبراير 2016

ارتفاع ثغرة الامتياز في تقنية البلوتوث

قد تؤدي زيادة ثغرة الامتياز في تقنية Bluetooth إلى تمكين جهاز غير موثوق به من الاقتران بالهاتف أثناء عملية الاقتران الأولية. وقد يؤدي ذلك إلى الوصول غير المصرح به إلى موارد الجهاز، مثل الاتصال بالإنترنت. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على إمكانات عالية لا يمكن للأجهزة غير الموثوقة الوصول إليها.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-0850 الروبوت-26551752 عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 13 يناير 2016

رفع مستوى الضعف في الامتيازات في برنامج التشغيل Haptic Driver من شركة Texas Instruments

توجد ثغرة أمنية مرتفعة في برنامج تشغيل kernel اللمسي لشركة Texas Instruments، مما قد يمكّن تطبيقًا ضارًا محليًا من تنفيذ تعليمات برمجية عشوائية في سياق kernel. عادةً ما يتم تصنيف خطأ تنفيذ تعليمات برمجية kernel كهذا على أنه خطير، ولكن لأنه يتطلب أولاً اختراق خدمة يمكنها استدعاء برنامج التشغيل، يتم تصنيفه على أنه خطير للغاية بدلاً من ذلك.

مكافحة التطرف العنيف حشرة خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2409 أندرويد-25981545* عالي 6.0، 6.0.1 25 ديسمبر 2015

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Video Kernel

توجد ثغرة أمنية مرتفعة في برنامج تشغيل Qualcomm video kernel والتي قد تمكن تطبيقًا ضارًا محليًا من تنفيذ تعليمات برمجية عشوائية في سياق kernel. عادةً ما يتم تصنيف الثغرة الأمنية في تنفيذ تعليمات برمجية kernel على أنها خطيرة، ولكن نظرًا لأنها تتطلب أولاً اختراق خدمة يمكنها استدعاء برنامج التشغيل، يتم تصنيفها على أنها خطيرة للغاية بدلاً من ذلك.

مكافحة التطرف العنيف حشرة خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2410 أندرويد-26291677* عالي 6.0، 6.0.1 21 ديسمبر 2015

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في مكون إدارة الطاقة من Qualcomm

توجد ثغرة أمنية مرتفعة في الامتيازات في برنامج تشغيل kernel Qualcomm Power Management الذي قد يمكّن تطبيقًا ضارًا محليًا من تنفيذ تعليمات برمجية عشوائية في سياق kernel. عادةً ما يتم تصنيف خطأ تنفيذ تعليمات برمجية kernel كهذا على أنه خطير، ولكن لأنه يتطلب أولاً اختراق الجهاز والارتقاء إلى الجذر، يتم تصنيفه على أنه خطير للغاية بدلاً من ذلك.

مكافحة التطرف العنيف حشرة خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2411 أندرويد-26866053* عالي 6.0، 6.0.1 28 يناير 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في System_server

قد يؤدي رفع ثغرة الامتياز في System_server إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2412 الروبوت-26593930 عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 15 يناير 2016

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتياز في خادم الوسائط إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2413 الروبوت-26403627 عالي 5.0.2، 5.1.1، 6.0، 6.0.1 5 يناير 2016

ثغرة أمنية في رفض الخدمة في Minikin

قد تسمح ثغرة رفض الخدمة في مكتبة Minikin للمهاجم المحلي بحظر الوصول مؤقتًا إلى الجهاز المتأثر. قد يتسبب أحد المهاجمين في تحميل خط غير موثوق به ويتسبب في تجاوز سعة مكون Minikin، مما يؤدي إلى حدوث عطل. تم تصنيف هذا على أنه شديد الخطورة لأن رفض الخدمة قد يؤدي إلى حلقة إعادة تشغيل مستمرة.

مكافحة التطرف العنيف خطأ في روابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2414 أندرويد-26413177 [ 2 ] عالي 5.0.2، 5.1.1، 6.0، 6.0.1 3 نوفمبر 2015

ثغرة أمنية في الكشف عن المعلومات في Exchange ActiveSync

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في Exchange ActiveSync إلى تمكين تطبيق ضار محلي من الوصول إلى المعلومات الخاصة للمستخدم. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنها تسمح بالوصول عن بعد إلى البيانات المحمية.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2415 الروبوت-26488455 عالي 5.0.2، 5.1.1، 6.0، 6.0.1 11 يناير 2016

ثغرة أمنية في الكشف عن المعلومات في Mediaserver

يمكن أن تسمح ثغرة الكشف عن المعلومات في Mediaserver بتجاوز الإجراءات الأمنية المعمول بها لزيادة صعوبة استغلال المهاجمين للمنصة. تم تصنيف هذه المشكلات على أنها عالية الخطورة لأنه يمكن استخدامها أيضًا للحصول على إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيقات الجهات الخارجية الوصول إليها.

مكافحة التطرف العنيف الأخطاء مع روابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2416 أندرويد-27046057 [ 2 ] عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 5 فبراير 2016
CVE-2016-2417 الروبوت-26914474 عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 1 فبراير 2016
CVE-2016-2418 الروبوت-26324358 عالي 6.0، 6.0.1 24 ديسمبر 2015
CVE-2016-2419 الروبوت-26323455 عالي 6.0، 6.0.1 24 ديسمبر 2015

رفع ثغرة الامتياز في مكون Debuggerd

قد تؤدي زيادة ثغرة الامتياز في مكون Debuggerd إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية قد تؤدي إلى اختراق دائم للجهاز. ونتيجة لذلك، قد يحتاج الجهاز إلى الإصلاح عن طريق إعادة تحديث نظام التشغيل. عادةً ما يتم تصنيف خطأ تنفيذ تعليمات برمجية كهذا على أنه خطير، ولكن نظرًا لأنه يتيح رفع الامتيازات من النظام إلى الجذر فقط في إصدار Android 4.4.4، فقد تم تصنيفه على أنه متوسط ​​بدلاً من ذلك. في إصدارات Android 5.0 والإصدارات الأحدث، تمنع قواعد SELinux تطبيقات الطرف الثالث من الوصول إلى التعليمات البرمجية المتأثرة.

مكافحة التطرف العنيف خطأ في روابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2420 أندرويد-26403620 [ 2 ] معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 5 يناير 2016

رفع ثغرة الامتياز في معالج الإعداد

قد تسمح الثغرة الأمنية في معالج الإعداد للمهاجم بتجاوز حماية إعادة ضبط المصنع والوصول إلى الجهاز. تم تصنيف هذا على أنه متوسط ​​الخطورة لأنه من المحتمل أن يسمح لشخص لديه وصول فعلي إلى الجهاز بتجاوز حماية إعادة ضبط المصنع، مما يمكّن المهاجم من إعادة ضبط الجهاز بنجاح، ومحو جميع البيانات.

مكافحة التطرف العنيف حشرة خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2421 أندرويد-26154410* معتدل 5.1.1، 6.0، 6.0.1 جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث إصدار ثنائي لأجهزة Nexus المتوفرة على موقع Google Developer .

ارتفاع ثغرة الامتياز في شبكة Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في شبكة Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للحصول على إمكانات مرتفعة، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2422 الروبوت-26324357 معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 23 ديسمبر 2015

ارتفاع ثغرة الامتياز في الاتصالات الهاتفية

قد تسمح الثغرة الأمنية في الاتصال الهاتفي للمهاجم بتجاوز حماية إعادة ضبط المصنع والوصول إلى الجهاز. تم تصنيف هذا على أنه متوسط ​​الخطورة لأنه من المحتمل أن يسمح لشخص لديه وصول فعلي إلى الجهاز بتجاوز حماية إعادة ضبط المصنع، مما يمكّن المهاجم من إعادة ضبط الجهاز بنجاح، ومحو جميع البيانات.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2423 الروبوت-26303187 معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

ثغرة أمنية في رفض الخدمة في SyncStorageEngine

قد يؤدي رفض وجود ثغرة أمنية في الخدمة في SyncStorageEngine إلى تمكين تطبيق ضار محلي من التسبب في تكرار حلقة إعادة التشغيل. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للتسبب في رفض مؤقت محلي للخدمة والذي قد يلزم إصلاحه من خلال إعادة ضبط المصنع.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2424 الروبوت-26513719 معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

ثغرة أمنية في الكشف عن المعلومات في بريد AOSP

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في AOSP Mail إلى تمكين تطبيق ضار محلي من الوصول إلى المعلومات الخاصة للمستخدم. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للحصول على أذونات "خطيرة" بشكل غير صحيح.

مكافحة التطرف العنيف الأخطاء مع رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2425 الروبوت-26989185 معتدل 4.4.4، 5.1.1، 6.0، 6.0.1 29 يناير 2016
CVE-2016-2425 أندرويد-7154234* معتدل 5.0.2 29 يناير 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث إصدار ثنائي لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في الإطار

قد تسمح الثغرة الأمنية في الكشف عن المعلومات في مكون Framework للتطبيق بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للوصول بشكل غير صحيح إلى البيانات دون إذن.

مكافحة التطرف العنيف خطأ في رابط AOSP خطورة الإصدارات المحدثة تاريخ الإبلاغ
CVE-2016-2426 الروبوت-26094635 معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 8 ديسمبر 2015

الأسئلة والأجوبة الشائعة

يستعرض هذا القسم إجابات الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

تتناول مستويات تصحيح الأمان بتاريخ 2 أبريل 2016 أو الإصدارات الأحدث هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان). يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-04-02]

2. لماذا تم تحديد مستوى التصحيح الأمني ​​هذا في 2 أبريل 2016؟

عادةً ما يتم تعيين مستوى التصحيح الأمني ​​للتحديث الأمني ​​الشهري على الأول من الشهر. بالنسبة لشهر أبريل، يشير مستوى التصحيح الأمني ​​بتاريخ 1 أبريل 2016 إلى أن جميع المشكلات الموضحة في هذه النشرة باستثناء CVE-2015-1805، كما هو موضح في Android Security Advisory 2016-03-18 قد تمت معالجتها. يشير مستوى التصحيح الأمني ​​بتاريخ 2 أبريل 2016 إلى أن كافة المشكلات الموضحة في هذه النشرة بما في ذلك CVE-2015-1805، كما هو موضح في Android Security Advisory 2016-03-18 قد تمت معالجتها.

التنقيحات

  • 04 أبريل 2016: نشر النشرة.
  • 06 أبريل 2016: تمت مراجعة النشرة لتشمل روابط AOSP.
  • 07 أبريل 2016: تمت مراجعة النشرة لتشمل رابط AOSP إضافي.
  • 11 يوليو 2016: الوصف المحدث لـ CVE-2016-2427.
  • 01 أغسطس 2016: الوصف المحدث لـ CVE-2016-2427
  • 19 ديسمبر 2016: تم التحديث لإزالة CVE-2016-2427، والذي تمت إعادته.