نشرة أمان Android — مايو 2016

تم النشر في 02 مايو 2016 | تم التحديث في 04 مايو 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لـ Nexus على موقع Google Developer . تعالج مستويات تصحيح الأمان بتاريخ 01 مايو 2016 أو الإصدارات الأحدث هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان).

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 04 أبريل 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP).

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم عمليات تخفيف آثار خدمات Android وGoogle للحصول على تفاصيل حول عمليات حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet، التي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • لتعكس تركيزًا أوسع، قمنا بإعادة تسمية هذه النشرة (وكل ما يلي في السلسلة) إلى نشرة أمان Android. وتشمل هذه النشرات نطاقًا أوسع من الثغرات الأمنية التي قد تؤثر على أجهزة Android، حتى لو لم تؤثر على أجهزة Nexus.
  • لقد قمنا بتحديث تقييمات خطورة أمان Android. كانت هذه التغييرات نتيجة للبيانات التي تم جمعها على مدى الأشهر الستة الماضية حول الثغرات الأمنية المبلغ عنها وتهدف إلى مواءمة الخطورة بشكل أوثق مع تأثير العالم الحقيقي على المستخدمين.

عمليات التخفيف من خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو أمر مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل خادم الوسائط.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • أبهيشيك آريا، وأوليفر تشانغ، ومارتن باربيلا من فريق أمان Google Chrome: CVE-2016-2454
  • أندي تايلر ( @ticarpi ) من e2e-assure : CVE-2016-2457
  • Chiachih Wu ( @chiachih_wu ) وXuxian Jiang من فريق C0RE : CVE-2016-2441، CVE-2016-2442
  • دميتري لوكيانينكا ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • جال بنياميني: CVE-2016-2431
  • Hao Chen من فريق Vulpecker، شركة Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • جيك فاليتا من Mandiant، إحدى شركات FireEye: CVE-2016-2060
  • Jianqiang Zhao ( @jianqiangzhao ) وpjf ( weibo.com/jfpan ) من IceSword Lab، Qihoo 360 Technology Co. Ltd: CVE-2016-2434، CVE-2016-2435، CVE-2016-2436، CVE-2016-2441، CVE-2016-2442، CVE-2016-2444، CVE-2016-2445، CVE-2016-2446
  • إمري راد من شركة Search-Lab Ltd .: CVE-2016-4477
  • جيريمي سي. جوسلين من Google: CVE-2016-2461
  • كيني روت جوجل: CVE-2016-2462
  • ماركو غراسي ( @marcograss ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-2443
  • ميشال بيدنارسكي ( https://github.com/michalbednarski ): CVE-2016-2440
  • Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-2450، CVE-2016-2448، CVE-2016-2449، CVE-2016-2451، CVE-2016-2452
  • بيتر باي ( @heisecode ) من Trend Micro: CVE-2016-2459، CVE-2016-2460
  • Weichao Sun ( @sunblate ) من شركة Alibaba Inc.: CVE-2016-2428، CVE-2016-2429
  • Yuan-Tsung Lo و Lubo Zhang و Chiachih Wu ( @chiachih_wu ) وXuxian Jiang من فريق C0RE : CVE-2016-2437
  • Yulong Zhang وTao (Lenx) Wei من Baidu X-Lab: CVE-2016-2439
  • زاك ريجل ( @ebeip90 ) من فريق أمان Android: CVE-2016-2430

تفاصيل الثغرة الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-05-2016. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والأخطاء المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط تغيير AOSP الذي عالج المشكلة بمعرف الخطأ. عندما تتعلق تغييرات متعددة بخطأ واحد، يتم ربط مراجع AOSP الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver

أثناء معالجة ملف الوسائط والبيانات لملف تم إعداده خصيصًا، قد تسمح ثغرة أمنية في خادم الوسائط للمهاجم بالتسبب في تلف الذاكرة وتنفيذ التعليمات البرمجية عن بُعد أثناء عملية خادم الوسائط.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.

تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق خدمة خادم الوسائط. تتمتع خدمة خادم الوسائط بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2428 26751339 شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 22 يناير 2016
CVE-2016-2429 27211885 شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 16 فبراير 2016

رفع ثغرة الامتياز في Debuggerd

قد تؤدي زيادة ثغرة الامتياز في مصحح أخطاء Android المدمج إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق مصحح أخطاء Android. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2430 27299236 شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 22 فبراير 2016

رفع ثغرة الامتياز في Qualcomm TrustZone

قد تؤدي زيادة ثغرة الامتياز في مكون Qualcomm TrustZone إلى تمكين تطبيق ضار محلي آمن من تنفيذ تعليمات برمجية عشوائية في سياق TrustZone kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2431 24968809* شديد الأهمية نيكزس 5، نيكزس 6، نيكزس 7 (2013)، أندرويد وان 15 أكتوبر 2015
CVE-2016-2432 25913059* شديد الأهمية نيكزس 6، أندرويد وان 28 نوفمبر 2015

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة للغاية نظرًا لاحتمال تصعيد الامتياز المحلي والتنفيذ التعسفي للتعليمات البرمجية مما يؤدي إلى احتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-0569 26754117* شديد الأهمية نيكزس 5X، نيكزس 7 (2013) 23 يناير 2016
CVE-2015-0570 26764809* شديد الأهمية نيكزس 5X، نيكزس 7 (2013) 25 يناير 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2434 27251090* شديد الأهمية نيكزس 9 17 فبراير 2016
CVE-2016-2435 27297988* شديد الأهمية نيكزس 9 20 فبراير 2016
CVE-2016-2436 27299111* شديد الأهمية نيكزس 9 22 فبراير 2016
CVE-2016-2437 27436822* شديد الأهمية نيكزس 9 1 مارس 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في Kernel

قد يؤدي ارتفاع ثغرة الامتيازات في kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال تصعيد الامتياز المحلي وتنفيذ تعليمات برمجية عشوائية مما يؤدي إلى احتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم وصف هذه المشكلة في نصائح أمان Android 18-03-2016 .

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-1805 27275324* شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 (2013)، نيكزس 9 19 فبراير 2016

* يتوفر التصحيح الموجود في AOSP لإصدارات محددة من kernel: 3.14 و 3.10 و 3.4 .

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Kernel

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في النظام الفرعي الصوتي إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. عادةً ما يتم تصنيف خطأ تنفيذ تعليمات برمجية kernel كهذا على أنه خطير، ولكن نظرًا لأنه يتطلب أولاً التنازل عن خدمة مميزة من أجل استدعاء النظام الفرعي الصوتي، فقد تم تصنيفه على أنه خطير للغاية.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2438 26636060* عالي نيكزس 9 جوجل الداخلية

* يتوفر التصحيح الخاص بهذه المشكلة في نظام التشغيل Linux الأساسي .

ثغرة أمنية في الكشف عن المعلومات في وحدة تحكم Qualcomm Tethering

يمكن أن تسمح ثغرة الكشف عن المعلومات في وحدة تحكم Qualcomm Tethering لتطبيق ضار محلي بالوصول إلى معلومات التعريف الشخصية دون امتيازات للقيام بذلك. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2060 27942588* عالي لا أحد 23 مارس 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. يجب أن يكون التحديث موجودًا في أحدث برامج التشغيل للأجهزة المتأثرة.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في تقنية البلوتوث

أثناء إقران جهاز Bluetooth، قد تسمح ثغرة أمنية في Bluetooth للمهاجم القريب بتنفيذ تعليمات برمجية عشوائية أثناء عملية الاقتران. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد أثناء تهيئة جهاز Bluetooth.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2439 27411268 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 28 فبراير 2016

رفع ثغرة الامتياز في Binder

قد تسمح زيادة ثغرة الامتيازات في Binder لتطبيق ضار محلي بتنفيذ تعليمات برمجية عشوائية في سياق عملية تطبيق آخر. أثناء تحرير الذاكرة، قد تسمح ثغرة أمنية في Binder للمهاجم بالتسبب في تنفيذ تعليمات برمجية محلية. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لإمكانية تنفيذ تعليمات برمجية محلية أثناء عملية الذاكرة الحرة في Binder.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2440 27252896 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 18 فبراير 2016

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Buspm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm buspm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. عادةً ما يتم تصنيف خطأ تنفيذ تعليمات برمجية kernel كهذا على أنه خطير، ولكن نظرًا لأنه يتطلب أولاً اختراق خدمة يمكنها استدعاء برنامج التشغيل، فقد تم تصنيفه على أنه خطير للغاية.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2441 26354602* عالي نيكزس 5X، نيكزس 6، نيكزس 6P 30 ديسمبر 2015
CVE-2016-2442 26494907* عالي نيكزس 5X، نيكزس 6، نيكزس 6P 30 ديسمبر 2015

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm MDP

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm MDP إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. عادةً ما يتم تصنيف خطأ تنفيذ تعليمات برمجية kernel كهذا على أنه خطير، ولكن نظرًا لأنه يتطلب أولاً اختراق خدمة يمكنها استدعاء برنامج التشغيل، فقد تم تصنيفه على أنه خطير للغاية.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2443 26404525* عالي نيكزس 5، نيكزس 7 (2013) 5 يناير 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتيازات في مكون Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من استدعاء مكالمات النظام لتغيير إعدادات الجهاز وسلوكه دون امتيازات للقيام بذلك. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-0571 26763920* عالي نيكزس 5X، نيكزس 7 (2013) 25 يناير 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الوسائط NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. عادةً ما يتم تصنيف خطأ تنفيذ تعليمات برمجية kernel كهذا على أنه خطير، ولكن نظرًا لأنه يتطلب أولاً التنازل عن خدمة ذات امتيازات عالية لاستدعاء برنامج التشغيل، فقد تم تصنيفه على أنه خطير للغاية.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2444 27208332* عالي نيكزس 9 16 فبراير 2016
CVE-2016-2445 27253079* عالي نيكزس 9 17 فبراير 2016
CVE-2016-2446 27441354* عالي نيكزس 9 1 مارس 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ارتفاع ثغرة الامتياز في شبكة Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في شبكة Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها أيضًا للحصول على إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيقات الجهات الخارجية الوصول إليها.

ملاحظة : تم تحديث رقم CVE، لكل طلب MITRE، من CVE-2016-2447 إلى CVE-2016-4477.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-4477 27371366 [ 2 ] عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 24 فبراير 2016

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتياز في خادم الوسائط إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنه يمكن استخدامها للحصول على إمكانات عالية، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2448 27533704 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 7 مارس 2016
CVE-2016-2449 27568958 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 9 مارس 2016
CVE-2016-2450 27569635 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 9 مارس 2016
CVE-2016-2451 27597103 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 10 مارس 2016
CVE-2016-2452 27662364 [ 2 ] [ 3 ] عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 14 مارس 2016

رفع ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. عادةً ما يتم تصنيف خطأ تنفيذ تعليمات برمجية kernel كهذا على أنه خطير، ولكن نظرًا لأنه يتطلب أولاً اختراق خدمة يمكنها استدعاء برنامج التشغيل، فقد تم تصنيفه على أنه خطير للغاية.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2453 27549705* عالي أندرويد وان 8 مارس 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية لرفض الخدمة عن بعد في برنامج ترميز أجهزة Qualcomm

أثناء معالجة ملف الوسائط والبيانات لملف تم إعداده خصيصًا، قد تسمح ثغرة رفض الخدمة عن بعد في برنامج ترميز فيديو جهاز Qualcomm للمهاجم عن بعد بحظر الوصول إلى الجهاز المتأثر عن طريق التسبب في إعادة تشغيل الجهاز. تم تصنيف هذا على أنه شديد الخطورة نظرًا لإمكانية رفض الخدمة عن بعد.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2454 26221024* عالي نيكزس 5 16 ديسمبر 2015

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في Conscrypt

قد يؤدي ارتفاع ثغرة الامتياز في Conscrypt إلى السماح لتطبيق محلي بالاعتقاد بأن الرسالة قد تمت مصادقتها عندما لم تكن كذلك. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنها تتطلب خطوات منسقة عبر أجهزة متعددة.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2461 27324690 [ 2 ] معتدل كل نيكزس 6.0، 6.0.1 جوجل الداخلية
CVE-2016-2462 27371173 معتدل كل نيكزس 6.0، 6.0.1 جوجل الداخلية

رفع مستوى الثغرات الأمنية في الامتيازات في OpenSSL وBoringSSL

قد تؤدي زيادة ثغرة الامتيازات في OpenSSL وBoringSSL إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. عادةً ما يتم تصنيف هذا على أنه مرتفع، ولكن لأنه يتطلب تكوينًا يدويًا غير شائع، يتم تصنيفه على أنه خطير متوسط.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-0705 27449871 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 7 فبراير 2016

رفع ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi

يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من التسبب في رفض الخدمة. عادةً ما يتم تصنيف خطأ رفع الامتياز مثل هذا على أنه مرتفع، ولكن لأنه يتطلب أولاً المساس بخدمة النظام، يتم تصنيفه على أنه متوسط ​​الخطورة.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2456 27275187* معتدل أندرويد وان 19 فبراير 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ارتفاع ثغرة الامتياز في شبكة Wi-Fi

قد يؤدي رفع ثغرة الامتياز في شبكة Wi-Fi إلى تمكين حساب الضيف من تعديل إعدادات Wi-Fi التي تستمر للمستخدم الأساسي. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنها تتيح الوصول المحلي إلى الإمكانات " الخطيرة " بدون إذن.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2457 27411179 معتدل كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1 29 فبراير 2016

ثغرة أمنية في الكشف عن المعلومات في بريد AOSP

يمكن أن تؤدي الثغرة الأمنية في الكشف عن المعلومات في AOSP Mail إلى تمكين تطبيق ضار محلي من الوصول إلى معلومات المستخدم الخاصة. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للوصول بشكل غير صحيح إلى البيانات دون إذن.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2458 27335139 [ 2 ] معتدل كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1 23 فبراير 2016

ثغرة أمنية في الكشف عن المعلومات في Mediaserver

يمكن أن تسمح ثغرة الكشف عن المعلومات في Mediaserver لأحد التطبيقات بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة لأنه يمكن استخدامها للوصول بشكل غير صحيح إلى البيانات دون إذن.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2459 27556038 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 7 مارس 2016
CVE-2016-2460 27555981 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 7 مارس 2016

ثغرة أمنية في رفض الخدمة في Kernel

قد تؤدي ثغرة رفض الخدمة في kernel إلى السماح لتطبيق ضار محلي بالتسبب في إعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنها منخفضة الخطورة نظرًا لأن تأثيرها يتمثل في رفض مؤقت للخدمة.

مكافحة التطرف العنيف خطأ أندرويد خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-0774 27721803* قليل كل نيكزس 17 مارس 2016

* يتوفر التصحيح الخاص بهذه المشكلة في نظام التشغيل Linux الأساسي .

الأسئلة والأجوبة الشائعة

يستعرض هذا القسم إجابات الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

تعالج مستويات تصحيح الأمان بتاريخ 01 مايو 2016 أو الإصدارات الأحدث هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان). يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-05-01]

2. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟

في قسم تفاصيل الثغرات الأمنية ، يحتوي كل جدول على عمود أجهزة Nexus المحدثة الذي يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus، فسيحتوي الجدول على جميع أجهزة Nexus في عمود أجهزة Nexus المحدثة . تشتمل جميع أجهزة Nexus على الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) وNexus 9 وAndroid One وNexus Player وPixel C.
  • بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدثة .
  • لا توجد أجهزة Nexus : إذا لم تتأثر أي أجهزة Nexus بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Nexus المحدثة .

3. لماذا تم تضمين CVE-2015-1805 في هذه النشرة؟

تم تضمين CVE-2015-1805 في هذه النشرة لأنه تم نشر نصائح أمان Android — 18-03-2016 في وقت قريب جدًا من إصدار نشرة أبريل. نظرًا للجدول الزمني الضيق، تم منح الشركات المصنعة للأجهزة خيار إرسال الإصلاحات من Nexus Security Bulletin — أبريل 2016 ، دون إصلاح CVE-2015-1805، إذا استخدموا مستوى التصحيح الأمني ​​بتاريخ 01 أبريل 2016. وقد تم تضمينه مرة أخرى في هذه النشرة لأنه يجب إصلاحه من أجل استخدام مستوى التصحيح الأمني ​​بتاريخ 01 مايو 2016.

التنقيحات

  • 02 مايو 2016: نشر النشرة.
  • 04 مايو 2016:
    • تمت مراجعة النشرة لتشمل روابط AOSP.
    • قائمة بجميع أجهزة Nexus التي تم تحديثها لتشمل Nexus Player وPixel C.
    • تم تحديث CVE-2016-2447 إلى CVE-2016-4477، لكل طلب MITRE.