نشرة أمان Android — يونيو 2016

تم النشر في 06 يونيو 2016 | تم التحديث في 08 يونيو 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لـ Nexus على موقع Google Developer . تعالج مستويات التصحيح الأمني ​​بتاريخ 01 يونيو 2016 أو ما بعده هذه المشكلات. راجع وثائق Nexus لمعرفة كيفية التحقق من مستوى تصحيح الأمان.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 02 مايو 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP).

المشكلة الأكثر خطورة هي وجود ثغرة أمنية خطيرة يمكن أن تتيح تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم عمليات تخفيف آثار خدمات Android وGoogle للحصول على تفاصيل حول عمليات حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet، التي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

عمليات التخفيف من خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة، مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو أمر مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • دي شين ( @returnsme ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-2468
  • جال بنياميني ( @laginimaineb ): CVE-2016-2476
  • Gengjia Chen ( @chengjia4574 )، pjf ( weibo.com/jfpan ) من IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
  • Hao Chen وGuang Gong وWenlin Yang من Mobile Safe Team، Qihoo 360 Technology Co. Ltd.: CVE-2016-2470، CVE-2016-2471، CVE-2016-2472، CVE-2016-2473، CVE-2016- 2498
  • ايو باناس : CVE-2016-2496
  • Jianqiang Zhao ( @jianqiangzhao ) وpjf ( weibo.com/jfpan ) من IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-2490، CVE-2016-2491
  • لي كامبل من جوجل: CVE-2016-2500
  • Maciej Szawłowski من فريق Google Security: CVE-2016-2474
  • ماركو نيليسن وماكس سبيكتور من Google: CVE-2016-2487
  • العلامة التجارية لـ Google Project Zero: CVE-2016-2494
  • Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-2477، CVE-2016-2478، CVE-2016-2479، CVE-2016-2480، CVE-2016-2481 ، CVE-2016-2482، CVE-2016-2483، CVE-2016-2484، CVE-2016-2485، CVE-2016-2486
  • سكوت باور ( @ScottyBauer1 ): CVE-2016-2066، CVE-2016-2061، CVE-2016-2465، CVE-2016-2469، CVE-2016-2489
  • فاسيلي فاسيليف: CVE-2016-2463
  • Weichao Sun ( @sunblate ) من شركة Alibaba Inc.: CVE-2016-2495
  • Xiling Gong من قسم Tencent Security Platform: CVE-2016-2499
  • زاك ريجل ( @ebeip90 ) من فريق أمان Android: CVE-2016-2493

تفاصيل الثغرة الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-06-2016. يوجد وصف للمشكلة، وأساس منطقي لخطورتها، وجدول يتضمن CVE، وأخطاء Android المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط تغيير AOSP الذي عالج المشكلة بمعرف الخطأ. عندما تتعلق تغييرات متعددة بخطأ واحد، يتم ربط مراجع AOSP الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2463 27855419 شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 25 مارس 2016

ثغرات أمنية في تنفيذ التعليمات البرمجية عن بعد في libwebm

يمكن أن تؤدي الثغرات الأمنية الخاصة بتنفيذ التعليمات البرمجية عن بُعد باستخدام libwebm إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملفات الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2464 23167726 [ 2 ] شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

رفع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2465 27407865* شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P 21 فبراير 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2466 27947307* شديد الأهمية نيكزس 6 27 فبراير 2016
CVE-2016-2467 28029010* شديد الأهمية نيكزس 5 13 مارس 2014

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2468 27475454* شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 2 مارس 2016
CVE-2016-2062 27364029* شديد الأهمية نيكزس 5X، نيكزس 6P 6 مارس 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2474 27424603* شديد الأهمية نيكزس 5X جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي زيادة ثغرة الامتيازات في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من استدعاء مكالمات النظام لتغيير إعدادات الجهاز وسلوكه دون امتيازات للقيام بذلك. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المرتفعة.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2475 26425765* عالي نيكزس 5، نيكزس 6، نيكزس 6 بي، نيكزس 7 (2013)، نيكزس 9، نيكزس بلاير، بكسل سي 6 يناير 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال بالسائق.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2066 26876409* عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P 29 يناير 2016
CVE-2016-2469 27531992* عالي نيكزس 5، نيكزس 6، نيكزس 6P 4 مارس 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتياز في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات مرتفعة، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 11 فبراير 2016
CVE-2016-2477 27251096 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 17 فبراير 2016
CVE-2016-2478 27475409 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 3 مارس 2016
CVE-2016-2479 27532282 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 6 مارس 2016
CVE-2016-2480 27532721 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 6 مارس 2016
CVE-2016-2481 27532497 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 6 مارس 2016
CVE-2016-2482 27661749 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 14 مارس 2016
CVE-2016-2483 27662502 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 14 مارس 2016
CVE-2016-2484 27793163 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 22 مارس 2016
CVE-2016-2485 27793367 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 22 مارس 2016
CVE-2016-2486 27793371 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 22 مارس 2016
CVE-2016-2487 27833616 [ 2 ] [ 3 ] عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال بالسائق.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2061 27207747* عالي نيكزس 5X، نيكزس 6P 15 فبراير 2016
CVE-2016-2488 27600832* عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 (2013) جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال بالسائق.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2489 27407629* عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P 21 فبراير 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق الخدمة للاتصال بالسائق.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2490 27533373* عالي نيكزس 9 6 مارس 2016
CVE-2016-2491 27556408* عالي نيكزس 9 8 مارس 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال بالسائق.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2470 27662174* عالي نيكزس 7 (2013) 13 مارس 2016
CVE-2016-2471 27773913* عالي نيكزس 7 (2013) 19 مارس 2016
CVE-2016-2472 27776888* عالي نيكزس 7 (2013) 20 مارس 2016
CVE-2016-2473 27777501* عالي نيكزس 7 (2013) 20 مارس 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل إدارة الطاقة MediaTek

قد يؤدي رفع الامتياز في برنامج تشغيل إدارة الطاقة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق الجهاز والارتقاء إلى الجذر لاستدعاء برنامج التشغيل.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2492 28085410* عالي أندرويد وان 7 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع مستوى ثغرة الامتياز في طبقة محاكاة بطاقة SD

قد تؤدي زيادة ثغرة الامتياز في طبقة مضاهاة مساحة مستخدم بطاقة SD إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات مرتفعة، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2494 28085658 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 7 أبريل 2016

رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً اختراق الخدمة للاتصال بالسائق.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2493 26571522* عالي نيكزس 5، نيكزس 6، نيكزس 6 بي، نيكزس 7 (2013)، نيكزس بلاير، بكسل سي جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية لرفض الخدمة عن بعد في Mediaserver

قد تؤدي الثغرة الأمنية لرفض الخدمة عن بعد في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2495 28076789 [ 2 ] عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 6 أبريل 2016

رفع ثغرة الامتياز في واجهة مستخدم Framework

قد تؤدي زيادة ثغرة الامتياز في نافذة حوار إذن Framework UI إلى تمكين المهاجم من الوصول إلى الملفات غير المصرح بها في وحدة التخزين الخاصة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للحصول على أذونات " خطيرة " بشكل غير صحيح.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2496 26677796 [ 2 ] [ 3 ] معتدل كل نيكزس 6.0، 6.1 26 مايو 2015

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً اختراق خدمة يمكنها الاتصال ببرنامج التشغيل.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2498 27777162* معتدل نيكزس 7 (2013) 20 مارس 2016

* التصحيح الخاص بهذه المشكلة غير موجود في AOSP. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في Mediaserver

يمكن أن تسمح ثغرة الكشف عن المعلومات في Mediaserver لأحد التطبيقات بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2499 27855172 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 24 مارس 2016

ثغرة أمنية في الكشف عن المعلومات في مدير النشاط

يمكن أن تسمح ثغرة الكشف عن المعلومات في مكون مدير النشاط للتطبيق بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف أخطاء الروبوت خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2500 19285814 معتدل كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

تعالج مستويات تصحيح الأمان بتاريخ 01 يونيو 2016 أو الإصدارات الأحدث هذه المشكلات (راجع وثائق Nexus للحصول على إرشادات حول كيفية التحقق من مستوى تصحيح الأمان). يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-06-01]

2. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟

في قسم تفاصيل الثغرات الأمنية ، يحتوي كل جدول على عمود أجهزة Nexus المحدثة الذي يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus، فسيحتوي الجدول على "All Nexus" في عمود أجهزة Nexus المحدثة . يشتمل "All Nexus" على الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) وNexus 9 وAndroid One وNexus Player وPixel C.
  • بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدثة .
  • لا توجد أجهزة Nexus : إذا لم تتأثر أي أجهزة Nexus بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Nexus المحدثة .

التنقيحات

  • 06 يونيو 2016: نشر النشرة.
  • 07 يونيو 2016:
    • تمت مراجعة النشرة لتشمل روابط AOSP.
    • تمت إزالة CVE-2016-2496 من النشرة.
  • 08 يونيو 2016: تمت إضافة CVE-2016-2496 مرة أخرى إلى النشرة.