نشرة أمان Android — يوليو 2016

تم النشر في 06 يوليو 2016 | تم التحديث في 1 أبريل 2019

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لـ Nexus على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 يوليو 2016 أو الإصدارات الأحدث جميع المشكلات القابلة للتطبيق في هذه النشرة. راجع الوثائق لمعرفة كيفية التحقق من مستوى التصحيح الأمني.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 06 يونيو 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف آثار خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحدد هذه النشرة سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/07/2016 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بـ 01-07-2016.
    • 05/07/2016 : إكمال سلسلة مستوى التصحيح الأمني. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بـ 01/07/2016 و05/07/2016.
  • ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني ​​بتاريخ 05 يوليو 2016.

عمليات تخفيف خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو أمر مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • أبهيشيك آريا وأوليفر تشانغ ومارتن باربيلا من فريق أمان Google Chrome: CVE-2016-3756، CVE-2016-3741، CVE-2016-3743، CVE-2016-3742
  • آدم دوننفيلد وآخرون. شركة Check Point Software Technologies Ltd.: CVE-2016-2503
  • آدم باول من جوجل: CVE-2016-3752
  • Alex Chapman وPaul Stone من سياق أمن المعلومات: CVE-2016-3763
  • أندي تايلر ( @ticarpi ) من e2e-assure : CVE-2016-2457
  • بن هوكس من Google Project Zero: CVE-2016-3775
  • Chiachih Wu ( @chiachih_wu )، وYuan-Tsung Lo ( computernik@gmail.com )، وXuxian Jiang من فريق C0RE : CVE-2016-3770، CVE-2016-3771، CVE-2016-3772، CVE-2016-3773، CVE-2016-3774
  • كريستوفر تيت من جوجل: CVE-2016-3759
  • دي شين ( @returnsme ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-3762
  • Gengjia Chen ( @chengjia4574 )، pjf ( weibo.com/jfpan ) من IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-3806، CVE-2016-3816، CVE-2016-3805، CVE-2016-3804 ، CVE-2016-3767، CVE-2016-3810، CVE-2016-3795، CVE-2016-3796
  • جريج كايزر من فريق Google Android: CVE-2016-3758
  • Guang Gong (龚广) ( @oldfresher ) من Mobile Safe Team، Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
  • Hao Chen وGuang Gong من Alpha Team، Qihoo 360 Technology Co. Ltd .: CVE-2016-3792، CVE-2016-3768
  • Hao Qin من مختبر أبحاث الأمان، Cheetah Mobile : CVE-2016-3754، CVE-2016-3766
  • Jianqiang Zhao ( @jianqiangzhao ) وpjf ( weibo.com/jfpan ) من IceSword Lab، Qihoo 360 Technology Co. Ltd : CVE-2016-3814، CVE-2016-3802، CVE-2016-3769، CVE-2016-3807، CVE-2016-3808
  • ماركو نيليسن من جوجل: CVE-2016-3818
  • العلامة التجارية لـ Google Project Zero: CVE-2016-3757
  • ميشال بيدنارسكي : CVE-2016-3750
  • Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-3747، CVE-2016-3746، CVE-2016-3765
  • Peng Xiao وChengming Yang وNing You وChao Yang وYang Ssong من Alibaba Mobile Security Group: CVE-2016-3800، CVE-2016-3799، CVE-2016-3801، CVE-2016-3812، CVE-2016-3798
  • Peter Pi ( @heisecode ) من Trend Micro: CVE-2016-3793
  • ريكي واي من جوجل: CVE-2016-3749
  • رولاند كراك: CVE-2016-3753
  • سكوت باور ( @ScottyBauer1 ): CVE-2016-3797، CVE-2016-3813، CVE-2016-3815، CVE-2016-2501، CVE-2016-2502
  • فاسيلي فاسيليف: CVE-2016-2507
  • Weichao Sun ( @sunblate ) من شركة Alibaba Inc.: CVE-2016-2508، CVE-2016-3755
  • وين نيو ( @NWMonster ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-3809
  • Xiling Gong من قسم Tencent Security Platform: CVE-2016-3745
  • Yacong Gu من مختبر TCA، معهد البرمجيات، الأكاديمية الصينية للعلوم: CVE-2016-3761
  • Yongke Wang ( @Rudykewang ) من Xuanwu LAB، Tencent: CVE-2016-2505
  • Yongke Wang ( @Rudykewang ) وWei Wei ( @Danny__Wei ) من Xuanwu LAB، Tencent: CVE-2016-2506
  • Yulong Zhang وTao (Lenx) Wei من Baidu X-Lab: CVE-2016-3744

01-07-2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-07-2016. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.

يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2506 أ-28175045 شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 11 أبريل 2016
CVE-2016-2505 أ-28333006 شديد الأهمية كل نيكزس 6.0، 6.0.1 21 أبريل 2016
CVE-2016-2507 أ-28532266 شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 2 مايو 2016
CVE-2016-2508 ا-28799341 [ 2 ] شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 16 مايو 2016
CVE-2016-3741 ا-28165661 [ 2 ] شديد الأهمية كل نيكزس 6.0، 6.0.1 جوجل الداخلية
CVE-2016-3742 أ-28165659 شديد الأهمية كل نيكزس 6.0، 6.0.1 جوجل الداخلية
CVE-2016-3743 أ-27907656 شديد الأهمية كل نيكزس 6.0، 6.0.1 جوجل الداخلية

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في OpenSSL وBoringSSL

يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في OpenSSL وBoringSSL إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة الملفات والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق العملية المتأثرة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2108 أ-28175332 شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 3 مايو 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في البلوتوث

قد تسمح ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في تقنية Bluetooth للمهاجم القريب بتنفيذ تعليمات برمجية عشوائية أثناء عملية الاقتران. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد أثناء تهيئة جهاز Bluetooth.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3744 أ-27930580 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 30 مارس 2016

رفع ثغرة الامتياز في libpng

قد يؤدي رفع ثغرة الامتياز في libpng إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات مرتفعة، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3751 أ-23265085 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 3 ديسمبر 2015

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتياز في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات مرتفعة، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3745 أ-28173666 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 10 أبريل 2016
CVE-2016-3746 أ-27890802 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 27 مارس 2016
CVE-2016-3747 أ-27903498 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 28 مارس 2016

رفع ثغرة الامتياز في المقابس

قد تؤدي زيادة ثغرة الامتيازات في المقابس إلى تمكين تطبيق ضار محلي من الوصول إلى مكالمات النظام خارج مستوى الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنها قد تسمح بتجاوز الإجراءات الأمنية المعمول بها لزيادة صعوبة استغلال المهاجمين للنظام الأساسي.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3748 أ-28171804 عالي كل نيكزس 6.0، 6.0.1 13 أبريل 2016

رفع ثغرة الامتياز في LockSettingsService

قد تؤدي زيادة ثغرة الامتيازات في LockSettingsService إلى تمكين تطبيق ضار من إعادة تعيين كلمة مرور قفل الشاشة دون إذن من المستخدم. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم لأي تعديلات على إعدادات المطور أو الأمان.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3749 أ-28163930 عالي كل نيكزس 6.0، 6.0.1 جوجل الداخلية

رفع مستوى الضعف في الامتيازات في Framework APIs

قد تؤدي زيادة ثغرة الامتيازات في Parcels Framework APIs إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3750 أ-28395952 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 16 ديسمبر 2015

رفع ثغرة الامتياز في خدمة ChooserTarget

قد تؤدي زيادة ثغرة الامتيازات في خدمة ChooserTarget إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية في سياق تطبيق آخر. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى الأنشطة التابعة لتطبيق آخر دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3752 أ-28384423 عالي كل نيكزس 6.0، 6.0.1 جوجل الداخلية

ثغرة الكشف عن المعلومات في Mediaserver

قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين مهاجم عن بعد من الوصول إلى البيانات المحمية التي لا يمكن الوصول إليها عادةً إلا من خلال التطبيقات المثبتة محليًا التي تطلب الإذن. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3753 أ-27210135 عالي لا أحد* 4.4.4 15 فبراير 2016

* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة الكشف عن المعلومات في OpenSSL

قد تؤدي ثغرة الكشف عن المعلومات في OpenSSL إلى تمكين مهاجم عن بعد من الوصول إلى البيانات المحمية التي لا يمكن الوصول إليها عادةً إلا من خلال التطبيقات المثبتة محليًا التي تطلب الإذن. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-2107 أ-28550804 عالي لا أحد* 4.4.4، 5.0.2، 5.1.1 13 أبريل 2016

* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بعد.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3754 ا-28615448 [ 2 ] عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 5 مايو 2016
CVE-2016-3755 أ-28470138 عالي كل نيكزس 6.0، 6.0.1 29 أبريل 2016
CVE-2016-3756 أ-28556125 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

الحرمان من ثغرة الخدمة في libc

قد تؤدي ثغرة رفض الخدمة في libc إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3818 ا-28740702 [ 2 ] عالي لا أحد* 4.4.4 جوجل الداخلية

* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في lsof

قد تؤدي زيادة ثغرة الامتياز في lsof إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية قد تؤدي إلى اختراق دائم للجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب خطوات يدوية غير شائعة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3757 أ-28175237 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 11 أبريل 2016

رفع ثغرة الامتياز في DexClassLoader

قد تؤدي زيادة ثغرة الامتيازات في DexClassLoader إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب خطوات يدوية غير شائعة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3758 أ-27840771 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

رفع مستوى الضعف في الامتيازات في Framework APIs

قد تؤدي زيادة ثغرة الامتيازات في واجهات برمجة تطبيقات Framework إلى تمكين تطبيق ضار محلي من طلب أذونات النسخ الاحتياطي واعتراض كافة بيانات النسخ الاحتياطي. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أذونات محددة لتجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3759 أ-28406080 معتدل كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

رفع ثغرة الامتياز في البلوتوث

قد تؤدي زيادة ثغرة الامتياز في مكون Bluetooth إلى تمكين مهاجم محلي من إضافة جهاز Bluetooth تمت مصادقته والذي يستمر للمستخدم الأساسي. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للحصول على إمكانات مرتفعة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3760 ا-27410683 [ 2 ] [ 3 ] معتدل كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1 29 فبراير 2016

رفع ثغرة الامتياز في NFC

قد تؤدي زيادة ثغرة الامتياز في NFC إلى تمكين تطبيق خلفية ضار محلي من الوصول إلى المعلومات من تطبيق أمامي. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للحصول على إمكانات مرتفعة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3761 أ-28300969 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 20 أبريل 2016

رفع ثغرة الامتياز في المقابس

قد تؤدي زيادة ثغرة الامتياز في المقابس إلى تمكين تطبيق ضار محلي من الوصول إلى بعض أنواع المقابس غير الشائعة، مما قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها قد تسمح بتجاوز الإجراءات الأمنية المعمول بها لزيادة صعوبة استغلال المهاجمين للنظام الأساسي.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3762 أ-28612709 معتدل كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1 21 أبريل 2016

ثغرة أمنية في الكشف عن المعلومات في Proxy Auto-Config

يمكن أن تسمح ثغرة الكشف عن المعلومات في مكون Proxy Auto-Config لأحد التطبيقات بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3763 أ-27593919 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 10 مارس 2016

ثغرة الكشف عن المعلومات في Mediaserver

يمكن أن تسمح ثغرة الكشف عن المعلومات في Mediaserver لتطبيق ضار محلي بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3764 أ-28377502 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 25 أبريل 2016
CVE-2016-3765 أ-28168413 معتدل كل نيكزس 6.0، 6.0.1 8 أبريل 2016

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3766 ا-28471206 [ 2 ] معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 29 أبريل 2016

05/07/2016 مستوى التصحيح الأمني ​​— تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-07-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2503 أ-28084795* كيو سي-CR1006067 شديد الأهمية نيكزس 5X، نيكزس 6P 5 أبريل 2016
CVE-2016-2067 أ-28305757 كيو سي-CR988993 شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P 20 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3767 أ-28169363*
م-ALPS02689526
شديد الأهمية أندرويد وان 6 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في مكون أداء Qualcomm

قد تؤدي زيادة ثغرة الامتياز في مكون أداء Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3768 أ-28172137* كيو سي-CR1010644 شديد الأهمية نيكزس 5، نيكزس 6، نيكزس 5X، نيكزس 6P، نيكزس 7 (2013) 9 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3769 أ-28376656*
N-CVE20163769
شديد الأهمية نيكزس 9 18 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برامج تشغيل MediaTek (خاص بالجهاز)

قد يؤدي ارتفاع ثغرة الامتياز في برامج تشغيل MediaTek المتعددة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3770 أ-28346752*
م-ALPS02703102
شديد الأهمية أندرويد وان 22 أبريل 2016
CVE-2016-3771 أ-29007611*
م-ALPS02703102
شديد الأهمية أندرويد وان 22 أبريل 2016
CVE-2016-3772 أ-29008188*
م-ALPS02703102
شديد الأهمية أندرويد وان 22 أبريل 2016
CVE-2016-3773 أ-29008363*
م-ALPS02703102
شديد الأهمية أندرويد وان 22 أبريل 2016
CVE-2016-3774 أ-29008609*
م-ALPS02703102
شديد الأهمية أندرويد وان 22 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في نظام ملفات kernel

قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3775 أ-28588279* شديد الأهمية Nexus 5X، وNexus 6، وNexus 6P، وNexus Player، وPixel C 4 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل USB

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل USB إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-8816 أ-28712303* شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 (2013)، نيكزس 9، نيكزس بلاير، بكسل C 4 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في مكونات Qualcomm

يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm بما في ذلك أداة تحميل التشغيل، وبرنامج تشغيل الكاميرا، وبرنامج تشغيل الأحرف، والشبكات، وبرنامج تشغيل الصوت، وبرنامج تشغيل الفيديو.

تم تصنيف أخطر هذه المشكلات على أنها حرجة نظرًا لاحتمال تنفيذ تعليمات برمجية عشوائية مما يؤدي إلى احتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة* تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2014-9795 أ-28820720
كيو سي-CR681957 [ 2 ]
شديد الأهمية نيكزس 5 8 أغسطس 2014
CVE-2014-9794 أ-28821172
مراقبة الجودة-CR646385
شديد الأهمية نيكزس 7 (2013) 8 أغسطس 2014
CVE-2015-8892 أ-28822807
مراقبة الجودة-CR902998
شديد الأهمية نيكزس 5X، نيكزس 6P 30 ديسمبر 2015
CVE-2014-9781 أ-28410333
مراقبة الجودة-CR556471
عالي نيكزس 7 (2013) 6 فبراير 2014
CVE-2014-9786 أ-28557260
مراقبة الجودة-CR545979
عالي نيكزس 5، نيكزس 7 (2013) 13 مارس 2014
CVE-2014-9788 أ-28573112
كيو سي-CR548872
عالي نيكزس 5 13 مارس 2014
CVE-2014-9779 أ-28598347
مراقبة الجودة-CR548679
عالي نيكزس 5 13 مارس 2014
CVE-2014-9780 أ-28602014
مراقبة الجودة-CR542222
عالي نيكزس 5، نيكزس 5X، نيكزس 6P 13 مارس 2014
CVE-2014-9789 أ-28749392
مراقبة الجودة-CR556425
عالي نيكزس 5 13 مارس 2014
CVE-2014-9793 أ-28821253
مراقبة الجودة-CR580567
عالي نيكزس 7 (2013) 13 مارس 2014
CVE-2014-9782 أ-28431531
مراقبة الجودة-CR511349
عالي نيكزس 5، نيكزس 7 (2013) 31 مارس 2014
CVE-2014-9783 أ-28441831
كيو سي-CR511382 [ 2 ]
عالي نيكزس 7 (2013) 31 مارس 2014
CVE-2014-9785 أ-28469042
مراقبة الجودة-CR545747
عالي نيكزس 7 (2013) 31 مارس 2014
CVE-2014-9787 أ-28571496
مراقبة الجودة-CR545764
عالي نيكزس 7 (2013) 31 مارس 2014
CVE-2014-9784 أ-28442449
مراقبة الجودة-CR585147
عالي نيكزس 5، نيكزس 7 (2013) 30 أبريل 2014
CVE-2014-9777 أ-28598501
مراقبة الجودة-CR563654
عالي نيكزس 5، نيكزس 7 (2013) 30 أبريل 2014
CVE-2014-9778 أ-28598515
مراقبة الجودة-CR563694
عالي نيكزس 5، نيكزس 7 (2013) 30 أبريل 2014
CVE-2014-9790 أ-28769136
كيو سي-CR545716 [ 2 ]
عالي نيكزس 5، نيكزس 7 (2013) 30 أبريل 2014
CVE-2014-9792 أ-28769399
مراقبة الجودة-CR550606
عالي نيكزس 5 30 أبريل 2014
CVE-2014-9797 أ-28821090
مراقبة الجودة-CR674071
عالي نيكزس 5 3 يوليو 2014
CVE-2014-9791 أ-28803396
مراقبة الجودة-CR659364
عالي نيكزس 7 (2013) 29 أغسطس 2014
CVE-2014-9796 أ-28820722
مراقبة الجودة-CR684756
عالي نيكزس 5، نيكزس 7 (2013) 30 سبتمبر 2014
CVE-2014-9800 أ-28822150
مراقبة الجودة-CR692478
عالي نيكزس 5، نيكزس 7 (2013) 31 أكتوبر 2014
CVE-2014-9799 أ-28821731
كيو سي-CR691916
عالي نيكزس 5، نيكزس 7 (2013) 31 أكتوبر 2014
CVE-2014-9801 أ-28822060
مراقبة الجودة-CR705078
عالي نيكزس 5 28 نوفمبر 2014
CVE-2014-9802 أ-28821965
مراقبة الجودة-CR705108
عالي نيكزس 5، نيكزس 7 (2013) 31 ديسمبر 2014
CVE-2015-8891 أ-28842418
كيو سي-CR813930
عالي نيكزس 5، نيكزس 7 (2013) 29 مايو 2015
CVE-2015-8888 أ-28822465
كيو سي-CR813933
عالي نيكزس 5 30 يونيو 2015
CVE-2015-8889 أ-28822677
مراقبة الجودة-CR804067
عالي نيكزس 6P 30 يونيو 2015
CVE-2015-8890 أ-28822878
مراقبة الجودة-CR823461
عالي نيكزس 5، نيكزس 7 (2013) 19 أغسطس 2015

* يتم توفير تصنيف خطورة هذه المشكلات مباشرةً من شركة Qualcomm.

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm USB

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm USB إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2502 أ-27657963 مراقبة الجودة-CR997044 عالي نيكزس 5X، نيكزس 6P 11 مارس 2016

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3792 أ-27725204 مراقبة الجودة-CR561022 عالي نيكزس 7 (2013) 17 مارس 2016

رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2501 أ-27890772* كيو سي-CR1001092 عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 (2013) 27 مارس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3793 أ-28026625*
N-CVE20163793
عالي نيكزس 9 5 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الطاقة MediaTek

قد يؤدي رفع الامتياز في برنامج تشغيل الطاقة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3795 أ-28085222*
م-ALPS02677244
عالي أندرويد وان 7 أبريل 2016
CVE-2016-3796 أ-29008443*
م-ALPS02677244
عالي أندرويد وان 7 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3797 أ-28085680* كيو سي-CR1001450 عالي نيكزس 5X 7 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل مستشعر أجهزة MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل مستشعر أجهزة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3798 أ-28174490*
م-ALPS02703105
عالي أندرويد وان 11 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3799 أ-28175025*
م-ALPS02693738
عالي أندرويد وان 11 أبريل 2016
CVE-2016-3800 أ-28175027*
م-ALPS02693739
عالي أندرويد وان 11 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل MediaTek GPS

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek GPS إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3801 أ-28174914*
م-ALPS02688853
عالي أندرويد وان 11 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في نظام ملفات kernel

قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3802 أ-28271368* عالي نيكزس 9 19 أبريل 2016
CVE-2016-3803 أ-28588434* عالي نيكزس 5X، نيكزس 6P 4 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل إدارة الطاقة MediaTek

قد يؤدي رفع الامتياز في برنامج تشغيل إدارة الطاقة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3804 أ-28332766*
م-ALPS02694410
عالي أندرويد وان 20 أبريل 2016
CVE-2016-3805 أ-28333002*
م-ALPS02694412
عالي أندرويد وان 21 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل العرض MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل العرض MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3806 أ-28402341*
م-ALPS02715341
عالي أندرويد وان 26 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الواجهة الطرفية التسلسلية

يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الواجهة الطرفية التسلسلية إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3807 أ-28402196* عالي نيكزس 5X، نيكزس 6P 26 أبريل 2016
CVE-2016-3808 أ-28430009* عالي بكسل سي 26 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2068 أ-28470967 مراقبة الجودة-CR1006609 عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P 28 أبريل 2016

رفع ثغرة الامتياز في النواة

قد يؤدي ارتفاع ثغرة الامتيازات في kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2014-9803 أ-28557020
نواة المنبع
عالي نيكزس 5X، نيكزس 6P جوجل الداخلية

ثغرة الكشف عن المعلومات في مكون الشبكات

قد تؤدي الثغرة الأمنية في الكشف عن المعلومات في مكون الشبكة إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3809 أ-27532522* عالي كل نيكزس 5 مارس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3810 أ-28175522*
م-ALPS02694389
عالي أندرويد وان 12 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل فيديو kernel

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3811 أ-28447556* معتدل نيكزس 9 جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الفيديو MediaTek

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الفيديو MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3812 أ-28174833*
م-ALPS02688832
معتدل أندرويد وان 11 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm USB

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm USB إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3813 أ-28172322* كيو سي-CR1010222 معتدل نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P 11 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل كاميرا NVIDIA

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الكاميرا NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3814 أ-28193342*
N-CVE20163814
معتدل نيكزس 9 14 أبريل 2016
CVE-2016-3815 أ-28522274*
N-CVE20163815
معتدل نيكزس 9 1 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل العرض MediaTek

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل العرض MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3816 أ-28402240* معتدل أندرويد وان 26 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل المبرقة kernel

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل المبرقة إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-0723 أ-28409131
نواة المنبع
معتدل نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 (2013)، نيكزس 9، نيكزس بلاير، بكسل C 26 أبريل 2016

ثغرة أمنية في رفض الخدمة في أداة تحميل التشغيل Qualcomm

قد تؤدي ثغرة رفض الخدمة في أداة تحميل التشغيل Qualcomm إلى تمكين تطبيق ضار محلي من التسبب في اختراق جهاز محلي دائم، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2014-9798 أ-28821448 كيو سي-CR681965 معتدل نيكزس 5 31 أكتوبر 2014
CVE-2015-8893 أ-28822690 كيو سي-CR822275 معتدل نيكزس 5، نيكزس 7 (2013) 19 أغسطس 2015

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

تتناول مستويات تصحيح الأمان 01-07-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 01-7-2016. تتناول مستويات تصحيح الأمان 05-07-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 05-07-2016. ارجع إلى مركز المساعدة للحصول على إرشادات حول كيفية التحقق من مستوى التصحيح الأمني. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-07-01] أو [ro.build.version.security_patch]:[2016-07-05].

2. لماذا تحتوي هذه النشرة على سلسلتين على مستوى التصحيح الأمني؟

تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان من أجل تزويد شركاء Android بالمرونة اللازمة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث سلسلة لمستوى تصحيح الأمان.

يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 يوليو 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).

يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 يوليو 2016 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة. قد تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 يوليو 2016 أيضًا مجموعة فرعية من الإصلاحات المرتبطة بمستوى تصحيح الأمان بتاريخ 5 يوليو 2016.

3. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟

في أقسام تفاصيل الثغرات الأمنية 01-07-2016 و05-07-2016 ، يحتوي كل جدول على عمود أجهزة Nexus المحدثة الذي يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus، فسيحتوي الجدول على "All Nexus" في عمود أجهزة Nexus المحدثة . يشتمل "All Nexus" على الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) وNexus 9 وAndroid One وNexus Player وPixel C.
  • بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدثة .
  • لا توجد أجهزة Nexus : إذا لم تتأثر أي أجهزة Nexus بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Nexus المحدثة .

4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA

التنقيحات

  • 06 يوليو 2016: نشر النشرة.
  • 07 يوليو 2016:
    • تمت إضافة روابط AOSP.
    • تمت إزالة CVE-2016-3794 لأنه نسخة مكررة من CVE-2016-3814
    • تمت إضافة الإسناد لـ CVE-2016-2501 وCVE-2016-2502
  • 11 يوليو 2016: تم تحديث الإسناد لـ CVE-2016-3750
  • 14 يوليو 2016: الإسناد المحدث لـ CVE-2016-2503
  • 1 أبريل 2019: تم تحديث روابط التصحيح لـ CVE-2016-3818