نشرة أمان Android - تموز (يوليو) 2016

تم النشر في 06 يوليو 2016 | تم التحديث في 1 أبريل 2019

تحتوي نشرة أمان Android على تفاصيل عن الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال تحديث عن بعد (OTA). تم أيضًا إصدار صور برنامج Nexus الثابت إلى موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 يوليو 2016 أو ما بعده جميع المشكلات السارية في هذه النشرة. راجع الوثائق لمعرفة كيفية التحقق من مستوى تصحيح الأمان.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 06 يونيو 2016 أو قبل ذلك. حيثما أمكن ، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.

إن أخطر هذه المشكلات هو الثغرة الأمنية الحرجة التي يمكن أن تتيح تنفيذ التعليمات البرمجية عن بُعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحدد هذه النشرة سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 2016-07-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-07-01.
    • 2016-07-05 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-07-01 و 2016-07-05.
  • ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر OTA بمستوى تصحيح الأمان في 05 تموز (يوليو) 2016.

عمليات التخفيف من خدمة Android و Google

هذا ملخص لعوامل التخفيف التي يوفرها نظام أمان Android الأساسي وإجراءات حماية الخدمة مثل SafetyNet. تقلل هذه الإمكانات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

نود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • Abhishek Arya و Oliver Chang و Martin Barbella من فريق Google Chrome Security Team: CVE-2016-3756، CVE-2016-3741، CVE-2016-3743، CVE-2016-3742
  • آدم دوننفيلد وآخرون. of Check Point Software Technologies Ltd: CVE-2016-2503
  • Adam Powell من Google: CVE-2016-3752
  • أليكس تشابمان وبول ستون من أمن معلومات السياق: CVE-2016-3763
  • آندي تايلر ( ticarpi ) من e2e- assure: CVE-2016-2457
  • بن هوكس من Google Project Zero: CVE-2016-3775
  • Chiachih Wu ( chiachih_wu ) ، و Yuan-Tsung Lo ( computernik@gmail.com ) ، و Xuxian Jiang من فريق C0RE : CVE-2016-3770 ، CVE-2016-3771 ، CVE-2016-3772 ، CVE-2016-3773 ، CVE-2016-3774
  • كريستوفر تيت من Google: CVE-2016-3759
  • Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-3762
  • Gengjia Chen ( @ chengjia4574 ) ، pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3806، CVE-2016-3816، CVE-2016-3805، CVE-2016-3804 ، CVE-2016-3767، CVE-2016-3810، CVE-2016-3795، CVE-2016-3796
  • جريج كايزر من فريق Google Android: CVE-2016-3758
  • Guang Gong (龚 广) ( oldfresher ) من Mobile Safe Team ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
  • Hao Chen و Guang Gong من Alpha Team ، Qihoo 360 Technology Co. Ltd .: CVE-2016-3792، CVE-2016-3768
  • Hao Qin of Security Research Lab ، Cheetah Mobile : CVE-2016-3754 ، CVE-2016-3766
  • Jianqiang Zhao ( jianqiangzhao ) و pjf ( weibo.com/jfpan ) من IceSword Lab ، Qihoo 360 Technology Co. Ltd : CVE-2016-3814 ، CVE-2016-3802 ، CVE-2016-3769 ، CVE-2016-3807 ، CVE-2016-3808
  • Marco Nelissen من Google: CVE-2016-3818
  • وضع علامة على العلامة التجارية لـ Google Project Zero: CVE-2016-3757
  • Michał Bednarski : CVE-2016-3750
  • Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-3747، CVE-2016-3746، CVE-2016-3765
  • Peng Xiao و Chengming Yang و Ning You و Chao Yang و Yang Ssong من Alibaba Mobile Security Group: CVE-2016-3800، CVE-2016-3799، CVE-2016-3801، CVE-2016-3812، CVE-2016-3798
  • Peter Pi ( heisecode ) من Trend Micro: CVE-2016-3793
  • Ricky Wai من Google: CVE-2016-3749
  • رويلاند كراك: CVE-2016-3753
  • سكوت باور ( @ ScottyBauer1 ): CVE-2016-3797 ، CVE-2016-3813 ، CVE-2016-3815 ، CVE-2016-2501 ، CVE-2016-2502
  • فاسيلي فاسيليف: CVE-2016-2507
  • Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2016-2508، CVE-2016-3755
  • Wen Niu ( NWMonster ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-3809
  • Xiling Gong من Tencent Security Platform Department: CVE-2016-3745
  • Yacong Gu من TCA Lab ، معهد البرمجيات ، الأكاديمية الصينية للعلوم: CVE-2016-3761
  • Yongke Wang ( Rudykewang ) من Xuanwu LAB ، Tencent: CVE-2016-2505
  • Yongke Wang ( Rudykewang ) و Wei Wei ( Danny__Wei ) من Xuanwu LAB ، تينسنت: CVE-2016-2506
  • Yulong Zhang and Tao (Lenx) Wei of Baidu X-Lab: CVE-2016-3744

2016-01-01 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-07-01. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو ، فضلاً عن الوصول إلى الامتيازات التي لا تستطيع تطبيقات الجهات الخارجية الوصول إليها عادةً.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد ، وأبرزها MMS وتشغيل المتصفح للوسائط.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2506 أ -28175045 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 11 أبريل 2016
CVE-2016-2505 أ -28333006 حرج كل Nexus 6.0 ، 6.0.1 21 أبريل 2016
CVE-2016-2507 أ -28532266 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 2 مايو 2016
CVE-2016-2508 A-28799341 [ 2 ] حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 16 مايو 2016
CVE-2016-3741 A-28165661 [ 2 ] حرج كل Nexus 6.0 ، 6.0.1 جوجل الداخلية
CVE-2016-3742 A-28165659 حرج كل Nexus 6.0 ، 6.0.1 جوجل الداخلية
CVE-2016-3743 أ -27907656 حرج كل Nexus 6.0 ، 6.0.1 جوجل الداخلية

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في OpenSSL & BoringSSL

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في OpenSSL و BoringSSL إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تلف الذاكرة أثناء معالجة الملفات والبيانات. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال تنفيذ التعليمات البرمجية عن بُعد في سياق عملية متأثرة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2108 أ -28175332 حرج كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 3 مايو 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في Bluetooth

قد تسمح الثغرة الأمنية الخاصة بتنفيذ التعليمات البرمجية عن بُعد في Bluetooth للمهاجم القريب بتنفيذ تعليمات برمجية عشوائية أثناء عملية الاقتران. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد أثناء تهيئة جهاز Bluetooth.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3744 A-27930580 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 30 مارس 2016

رفع مستوى ضعف الامتياز في libpng

قد يؤدي ارتفاع ثغرة الامتياز في libpng إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3751 A-23265085 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 3 ديسمبر 2015

رفع مستوى ضعف الامتياز في Mediaserver

يمكن أن يؤدي ارتفاع مستوى ضعف الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات عالية ، مثل امتيازات أذونات Signature أو SignatureOrSystem ، والتي لا يمكن الوصول إليها من قبل تطبيق جهة خارجية.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3745 أ -28173666 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 10 أبريل 2016
CVE-2016-3746 أ -27890802 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 27 مارس 2016
CVE-2016-3747 A-27903498 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 28 مارس 2016

ارتفاع ضعف الامتياز في المنافذ

يمكن أن يؤدي ارتفاع ثغرة الامتياز في المقابس إلى تمكين تطبيق ضار محلي من الوصول إلى مكالمات النظام خارج مستوى أذوناته. تم تصنيف هذه المشكلة على أنها عالية لأنها قد تسمح بتجاوز الإجراءات الأمنية المطبقة لزيادة صعوبة استغلال المهاجمين للمنصة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3748 أ -28171804 عالٍ كل Nexus 6.0 ، 6.0.1 13 أبريل 2016

رفع مستوى ضعف الامتياز في LockSettingsService

يمكن أن يؤدي ارتفاع ثغرة الامتياز في LockSettingsService إلى تمكين تطبيق ضار من إعادة تعيين كلمة مرور قفل الشاشة دون إذن من المستخدم. تم تصنيف هذه المشكلة على أنها عالية لأنها تجاوز محلي لمتطلبات تفاعل المستخدم لأي مطور أو تعديلات على إعدادات الأمان.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3749 أ -28163930 عالٍ كل Nexus 6.0 ، 6.0.1 جوجل الداخلية

رفع ثغرة أمنية في الامتيازات في واجهات برمجة تطبيقات Framework

يمكن أن يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة تطبيقات Parcels Framework إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3750 أ -28395952 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 16 ديسمبر 2015

زيادة ضعف الامتياز في خدمة ChooserTarget

قد يؤدي ارتفاع ثغرة الامتياز في خدمة ChooserTarget إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية في سياق تطبيق آخر. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى الأنشطة الخاصة بتطبيق آخر دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3752 أ -28384423 عالٍ كل Nexus 6.0 ، 6.0.1 جوجل الداخلية

ضعف الكشف عن المعلومات في Mediaserver

قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين المهاجم عن بُعد من الوصول إلى البيانات المحمية التي لا يمكن الوصول إليها عادةً إلا للتطبيقات المثبتة محليًا التي تطلب الإذن. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3753 أ -27210135 عالٍ لا أحد* 4.4.4 15 فبراير 2016

* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

ثغرة الكشف عن المعلومات في OpenSSL

قد تؤدي ثغرة الكشف عن المعلومات في OpenSSL إلى تمكين المهاجم عن بُعد من الوصول إلى البيانات المحمية التي لا يمكن الوصول إليها عادةً إلا للتطبيقات المثبتة محليًا التي تطلب الإذن. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-2107 أ -28550804 عالٍ لا أحد* 4.4.4 ، 5.0.2 ، 5.1.1 13 أبريل 2016

* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

ضعف رفض الخدمة في Mediaserver

قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3754 A-28615448 [ 2 ] عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 5 مايو 2016
CVE-2016-3755 أ -28470138 عالٍ كل Nexus 6.0 ، 6.0.1 29 أبريل 2016
CVE-2016-3756 أ -28556125 عالٍ كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

ضعف رفض الخدمة في libc

قد يؤدي رفض الخدمة في libc إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3818 A-28740702 [ 2 ] عالٍ لا أحد* 4.4.4 جوجل الداخلية

* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت جميع التحديثات المتاحة بهذه الثغرة الأمنية.

ارتفاع ضعف الامتياز في lsof

قد يؤدي ارتفاع ثغرة الامتياز في lsof إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية قد تؤدي إلى اختراق دائم للجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب خطوات يدوية غير شائعة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3757 A-28175237 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 11 أبريل 2016

ارتفاع ثغرة أمنية في DexClassLoader

قد يؤدي ارتفاع ثغرة الامتياز في DexClassLoader إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب خطوات يدوية غير شائعة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3758 A-27840771 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

رفع ثغرة أمنية في الامتيازات في واجهات برمجة تطبيقات Framework

قد يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة تطبيقات Framework إلى تمكين تطبيق ضار محلي من طلب أذونات النسخ الاحتياطي واعتراض جميع بيانات النسخ الاحتياطي. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أذونات محددة لتجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3759 أ -28406080 معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 جوجل الداخلية

ارتفاع ضعف الامتياز في البلوتوث

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون Bluetooth إلى تمكين مهاجم محلي من إضافة جهاز Bluetooth مصادق عليه يستمر للمستخدم الأساسي. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها لاكتساب قدرات عالية بدون إذن صريح من المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3760 A-27410683 [ 2 ] [ 3 ] معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 29 فبراير 2016

ارتفاع ضعف الامتياز في NFC

قد يؤدي ارتفاع ثغرة الامتياز في NFC إلى تمكين تطبيق الخلفية الضار المحلي من الوصول إلى المعلومات من تطبيق أمامي. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها لاكتساب قدرات عالية بدون إذن صريح من المستخدم.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3761 أ -28300969 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 20 أبريل 2016

ارتفاع ضعف الامتياز في المنافذ

يمكن أن يؤدي ارتفاع ثغرة الامتياز في المآخذ إلى تمكين تطبيق ضار محلي من الوصول إلى أنواع معينة من المقابس غير الشائعة التي قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها قد تسمح بتجاوز الإجراءات الأمنية المطبقة لزيادة صعوبة استغلال المهاجمين للمنصة.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3762 أ -28612709 معتدل كل Nexus 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 21 أبريل 2016

ثغرة أمنية في الكشف عن المعلومات في التكوين التلقائي للوكيل

قد تسمح ثغرة الكشف عن المعلومات في مكون Proxy Auto-Config لأحد التطبيقات بالوصول إلى معلومات حساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3763 A-27593919 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 10 من آذار 2016

ضعف الكشف عن المعلومات في Mediaserver

قد تسمح ثغرة الكشف عن المعلومات في Mediaserver لتطبيق ضار محلي بالوصول إلى معلومات حساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3764 أ -28377502 معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 25 أبريل 2016
CVE-2016-3765 أ -28168413 معتدل كل Nexus 6.0 ، 6.0.1 8 أبريل 2016

ضعف رفض الخدمة في Mediaserver

قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة عن بُعد.

CVE مراجع خطورة أجهزة Nexus المحدثة إصدارات AOSP المحدثة ذكرت تاريخ
CVE-2016-3766 A-28471206 [ 2 ] معتدل كل Nexus 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 29 أبريل 2016

2016-07-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه ، نقدم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-07-05. يوجد وصف للمشكلة ، والأساس المنطقي للخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Nexus المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.

رفع مستوى ضعف الامتياز في برنامج تشغيل Qualcomm GPU

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2503 A-28084795 * QC-CR1006067 حرج Nexus 5X و Nexus 6P 5 أبريل 2016
CVE-2016-2067 A-28305757 QC-CR988993 حرج Nexus 5X و Nexus 6 و Nexus 6P 20 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل MediaTek Wi-Fi

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3767 A-28169363 *
M- ألبس 02689526
حرج Android One 6 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

زيادة ضعف الامتياز في مكون أداء Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكون أداء Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3768 A-28172137 * QC-CR1010644 حرج Nexus 5 و Nexus 6 و Nexus 5X و Nexus 6P و Nexus 7 (2013) 9 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

زيادة ضعف الامتياز في برنامج تشغيل الفيديو NVIDIA

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3769 A-28376656 *
N-CVE20163769
حرج نيكزس 9 18 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ثغرة أمنية في الامتيازات في برامج تشغيل MediaTek (خاصة بالجهاز)

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برامج تشغيل MediaTek المتعددة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3770 A-28346752 *
M- ألبس 02703102
حرج Android One 22 أبريل 2016
CVE-2016-3771 A-29007611 *
M- ألبس 02703102
حرج Android One 22 أبريل 2016
CVE-2016-3772 A-29008188 *
M- ألبس 02703102
حرج Android One 22 أبريل 2016
CVE-2016-3773 A-29008363 *
M- ألبس 02703102
حرج Android One 22 أبريل 2016
CVE-2016-3774 A-29008609 *
M- ألبس 02703102
حرج Android One 22 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في نظام ملفات kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3775 A-28588279 * حرج Nexus 5X و Nexus 6 و Nexus 6P و Nexus Player و Pixel C 4 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل USB

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل USB إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2015-8816 A-28712303 * حرج Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) و Nexus 9 و Nexus Player و Pixel C 4 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

رفع مستوى ضعف الامتيازات في مكونات Qualcomm

يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm بما في ذلك أداة تحميل التشغيل وبرنامج تشغيل الكاميرا وبرنامج تشغيل الأحرف والشبكات وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.

يتم تصنيف أخطر هذه المشكلات على أنها حرجة نظرًا لاحتمال تنفيذ التعليمات البرمجية التعسفي مما يؤدي إلى احتمال حدوث حل محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

CVE مراجع خطورة* أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2014-9795 أ -28820720
QC-CR681957 [ 2 ]
حرج نيكزس 5 8 أغسطس 2014
CVE-2014-9794 أ -28821172
QC-CR646385
حرج Nexus 7 (2013) 8 أغسطس 2014
CVE-2015-8892 أ -28822807
QC-CR902998
حرج Nexus 5X و Nexus 6P 30 ديسمبر 2015
CVE-2014-9781 أ -28410333
QC-CR556471
عالٍ Nexus 7 (2013) 6 فبراير 2014
CVE-2014-9786 أ -28557260
QC-CR545979
عالٍ Nexus 5 و Nexus 7 (2013) 13 مارس 2014
CVE-2014-9788 A-28573112
QC-CR548872
عالٍ نيكزس 5 13 مارس 2014
CVE-2014-9779 أ -28598347
QC-CR548679
عالٍ نيكزس 5 13 مارس 2014
CVE-2014-9780 A-28602014
QC-CR542222
عالٍ Nexus 5 و Nexus 5X و Nexus 6P 13 مارس 2014
CVE-2014-9789 أ -28749392
QC-CR556425
عالٍ نيكزس 5 13 مارس 2014
CVE-2014-9793 أ -28821253
QC-CR580567
عالٍ Nexus 7 (2013) 13 مارس 2014
CVE-2014-9782 أ -28431531
QC-CR511349
عالٍ Nexus 5 و Nexus 7 (2013) 31 مارس 2014
CVE-2014-9783 أ -28441831
QC-CR511382 [ 2 ]
عالٍ Nexus 7 (2013) 31 مارس 2014
CVE-2014-9785 أ -28469042
QC-CR545747
عالٍ Nexus 7 (2013) 31 مارس 2014
CVE-2014-9787 أ -28571496
QC-CR545764
عالٍ Nexus 7 (2013) 31 مارس 2014
CVE-2014-9784 أ -28442449
QC-CR585147
عالٍ Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9777 A-28598501
QC-CR563654
عالٍ Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9778 A-28598515
QC-CR563694
عالٍ Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9790 أ -28769136
QC-CR545716 [ 2 ]
عالٍ Nexus 5 و Nexus 7 (2013) 30 أبريل 2014
CVE-2014-9792 أ -28769399
QC-CR550606
عالٍ نيكزس 5 30 أبريل 2014
CVE-2014-9797 أ -28821090
QC-CR674071
عالٍ نيكزس 5 3 يوليو 2014
CVE-2014-9791 أ -28803396
QC-CR659364
عالٍ Nexus 7 (2013) 29 أغسطس 2014
CVE-2014-9796 أ -28820722
QC-CR684756
عالٍ Nexus 5 و Nexus 7 (2013) 30 سبتمبر 2014
CVE-2014-9800 أ -28822150
QC-CR692478
عالٍ Nexus 5 و Nexus 7 (2013) 31 أكتوبر 2014
CVE-2014-9799 أ -28821731
QC-CR691916
عالٍ Nexus 5 و Nexus 7 (2013) 31 أكتوبر 2014
CVE-2014-9801 أ -28822060
QC-CR705078
عالٍ نيكزس 5 28 نوفمبر 2014
CVE-2014-9802 أ -28821965
QC-CR705108
عالٍ Nexus 5 و Nexus 7 (2013) 31 ديسمبر 2014
CVE-2015-8891 أ -28842418
QC-CR813930
عالٍ Nexus 5 و Nexus 7 (2013) 29 مايو 2015
CVE-2015-8888 أ -28822465
QC-CR813933
عالٍ نيكزس 5 30 يونيو 2015
CVE-2015-8889 أ -28822677
QC-CR804067
عالٍ Nexus 6P 30 يونيو 2015
CVE-2015-8890 أ -28822878
QC-CR823461
عالٍ Nexus 5 و Nexus 7 (2013) 19 أغسطس 2015

* يتم توفير تصنيف الخطورة لهذه المشكلات مباشرةً من Qualcomm.

زيادة ضعف الامتياز في برنامج تشغيل Qualcomm USB

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm USB إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2502 A-27657963 QC-CR997044 عالٍ Nexus 5X و Nexus 6P 11 من آذار 2016

ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3792 A-27725204 QC-CR561022 عالٍ Nexus 7 (2013) 17 من آذار 2016

ارتفاع ضعف الامتياز في برنامج تشغيل كاميرا Qualcomm

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-2501 A-27890772 * QC-CR1001092 عالٍ Nexus 5X و Nexus 6 و Nexus 6P و Nexus 7 (2013) 27 مارس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل كاميرا NVIDIA

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3793 A-28026625 *
N-CVE20163793
عالٍ نيكزس 9 5 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل الطاقة MediaTek

يمكن أن يؤدي رفع الامتياز في برنامج تشغيل الطاقة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3795 A-28085222 *
M-ALPS02677244
عالٍ Android One 7 أبريل 2016
CVE-2016-3796 A-29008443 *
M-ALPS02677244
عالٍ Android One 7 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3797 A-28085680 * QC-CR1001450 عالٍ جهاز Nexus 5X 7 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل مستشعر أجهزة MediaTek

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل مستشعر أجهزة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3798 A-28174490 *
M- ألبس 02703105
عالٍ Android One 11 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل الفيديو MediaTek

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3799 A-28175025 *
M-ALPS02693738
عالٍ Android One 11 أبريل 2016
CVE-2016-3800 A-28175027 *
M-ALPS02693739
عالٍ Android One 11 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في برنامج تشغيل MediaTek GPS

يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek GPS إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3801 A-28174914 *
M-ALPS02688853
عالٍ Android One 11 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة من موقع Google Developer .

ارتفاع ضعف الامتياز في نظام ملفات kernel

يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.

CVE مراجع خطورة أجهزة Nexus المحدثة ذكرت تاريخ
CVE-2016-3802 A-28271368 * عالٍ نيكزس 9 19 أبريل 2016
CVE-2016-3803 A-28588434 * عالٍ Nexus 5X و Nexus 6P 4 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek power management driver

An elevation of privilege in the MediaTek power management driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3804 A-28332766*
M-ALPS02694410
عالٍ Android One Apr 20, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
عالٍ Android One Apr 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek display driver

An elevation of privilege vulnerability in the MediaTek display driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3806 A-28402341*
M-ALPS02715341
عالٍ Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in serial peripheral interface driver

An elevation of privilege vulnerability in the serial peripheral interface driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3807 A-28402196* عالٍ Nexus 5X, Nexus 6P Apr 26, 2016
CVE-2016-3808 A-28430009* عالٍ بكسل سي Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm sound driver

An elevation of privilege vulnerability in the Qualcomm sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High severity because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-2068 A-28470967 QC-CR1006609 عالٍ Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 28, 2016

Elevation of privilege vulnerability in kernel

An elevation of privilege vulnerability in the kernel could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2014-9803 A-28557020
نواة المنبع
عالٍ Nexus 5X, Nexus 6P Google internal

Information disclosure vulnerability in networking component

An information disclosure vulnerability in the networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3809 A-27532522* عالٍ All Nexus Mar 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek Wi-Fi driver

An information disclosure vulnerability in the MediaTek Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3810 A-28175522*
M-ALPS02694389
عالٍ Android One Apr 12, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel video driver

An elevation of privilege vulnerability in the kernel video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3811 A-28447556* معتدل نيكزس 9 Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek video codec driver

An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3812 A-28174833*
M-ALPS02688832
معتدل Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm USB driver

An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3813 A-28172322* QC-CR1010222 معتدل Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the NVIDIA camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3814 A-28193342*
N-CVE20163814
معتدل نيكزس 9 Apr 14, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
معتدل نيكزس 9 May 1, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek display driver

An information disclosure vulnerability in the MediaTek display driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-3816 A-28402240* معتدل Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel teletype driver

An information disclosure vulnerability in the teletype driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2016-0723 A-28409131
نواة المنبع
معتدل Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C Apr 26, 2016

Denial of service vulnerability in Qualcomm bootloader

A denial of service vulnerability in the Qualcomm bootloader could enable a local malicious application to cause a local permanent device compromise, which may require reflashing the operating system to repair the device. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE مراجع خطورة Updated Nexus devices Date reported
CVE-2014-9798 A-28821448 QC-CR681965 معتدل Nexus 5 Oct 31, 2014
CVE-2015-8893 A-28822690 QC-CR822275 معتدل Nexus 5, Nexus 7 (2013) Aug 19, 2015

أسئلة وأجوبة شائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا تم تحديث جهازي لمعالجة هذه المشكلات؟

Security Patch Levels of 2016-07-01 or later address all issues associated with the 2016-7-01 security patch string level. Security Patch Levels of 2016-07-05 or later address all issues associated with the 2016-07-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-07-01] or [ro.build.version.security_patch]:[2016-07-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of July 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the July 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use July 1, 2016 security patch level may also include a subset of fixes associated with the July 5, 2016 security patch level.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-07-01 and 2016-07-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

قد تحتوي الإدخالات الموجودة ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. These prefixes map as follows:

بادئة المرجعي
أ- معرف خطأ Android
QC- الرقم المرجعي لشركة Qualcomm
م- الرقم المرجعي MediaTek
ن- الرقم المرجعي لـ NVIDIA

Revisions

  • July 06, 2016: Bulletin published.
  • July 07, 2016:
    • Added AOSP links.
    • Removed CVE-2016-3794 because it is a duplicate of CVE-2016-3814
    • Added attribution for CVE-2016-2501 and CVE-2016-2502
  • July 11, 2016: Updated attribution for CVE-2016-3750
  • July 14, 2016: Updated attribution for CVE-2016-2503
  • April 1, 2019: Updated patch links for CVE-2016-3818