بولتن امنیتی اندروید - سپتامبر 2016

داد

تاریخ انتشار 15 شهریور 1395 | به روز شده در 12 سپتامبر 2016

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار Nexus نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 06 سپتامبر 2016 یا بعد از آن به این مسائل می پردازد. برای یادگیری نحوه بررسی سطح وصله امنیتی به مستندات مراجعه کنید. دستگاه‌های Nexus پشتیبانی‌شده یک به‌روزرسانی OTA با سطح وصله امنیتی 6 سپتامبر 2016 دریافت خواهند کرد.

در تاریخ 05 اوت 2016 یا قبل از آن، شرکا در مورد مسائل شرح داده شده در بولتن مطلع شدند. در صورت لزوم، وصله‌های کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت از پلتفرم امنیتی اندروید و محافظت از خدمات مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

  • این بولتن دارای سه رشته در سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری را ارائه دهد تا سریع‌تر برای رفع زیرمجموعه‌ای از آسیب‌پذیری‌ها که در همه دستگاه‌های Android مشابه هستند، حرکت کنند. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/09/2016 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/09/2016 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
    • 05/09/2016 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2016-09-01 و 2016-09-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) بررسی شده‌اند.
    • 06/09/2016 : رشته سطح وصله امنیتی کامل، که به مشکلاتی می‌پردازد که پس از اطلاع شرکا از اکثر مشکلات در این بولتن کشف شده‌اند. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2016-09-01، 2016-09-05، و 2016-09-06 (و تمام رشته‌های سطح وصله امنیتی قبلی) بررسی شده‌اند.
  • دستگاه‌های Nexus پشتیبانی‌شده یک به‌روزرسانی OTA با سطح وصله امنیتی 6 سپتامبر 2016 دریافت خواهند کرد.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه‌شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به‌طور فعال نظارت بر سوء استفاده می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به‌ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • کوری پروس از دانشگاه کارنگی ملون: CVE-2016-3897
  • Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd.: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
  • Hao Qin از آزمایشگاه تحقیقات امنیتی، Cheetah Mobile : CVE-2016-3863
  • Jann Horn از Google Project Zero: CVE-2016-3885
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf آزمایشگاه IceSword، Qihoo 360: CVE-2016-3858
  • جاشوا دریک ( @jduck ): CVE-2016-3861
  • مادو پریا موروگان از CISPA، دانشگاه سارلند: CVE-2016-3896
  • ماکوتو اونوکی از گوگل: CVE-2016-3876
  • علامت تجاری Google Project Zero: CVE-2016-3861
  • حداکثر طیف امنیت اندروید: CVE-2016-3888
  • Max Spector و Quan To امنیت اندروید: CVE-2016-3889
  • Mingjian Zhou ( @Mingjian_Zhou )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-3895
  • ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا موتورز: کشف مسائل اضافی مربوط به CVE-2016-2446
  • Oleksiy Vyalov از گوگل: CVE-2016-3890
  • الیور چانگ از تیم امنیتی Google Chrome: CVE-2016-3880
  • آهنگ پنگ شیائو، چنگ مینگ یانگ، نینگ یو، چائو یانگ و یانگ از گروه امنیت موبایل علی بابا: CVE-2016-3859
  • Ronald L. Loor Vargas ( @loor_rlv ) از TEAM Lv51: CVE-2016-3886
  • Sagi Kedmi، محقق IBM Security X-Force: CVE-2016-3873
  • اسکات بائر ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
  • Seven Shen ( @lingtongshen ) از TrendMicro: CVE-2016-3894
  • تیم استرازر ( @timstrazz ) از SentinelOne / RedNaga: CVE-2016-3862
  • trotmaster ( @trotmaster99 ): CVE-2016-3883
  • ویکتور چانگ از گوگل: CVE-2016-3887
  • ویگنش ونکاتاسوبرامانیان از گوگل: CVE-2016-3881
  • Weichao Sun ( @sunblate ) از Alibaba Inc: CVE-2016-3878
  • Wenke Dou ، Mingjian Zhou ( @Mingjian_Zhou )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-3870، CVE-2016-3871، CVE-2016-3872
  • Wish Wu (吴潍浠) ( @wish_wu ) از Trend Micro Inc .: CVE-2016-3892
  • Xingyu He (何星宇) ( @Spid3r_ ) از Alibaba Inc : CVE-2016-3879
  • یاکونگ گو از آزمایشگاه TCA، موسسه نرم افزار، آکادمی علوم چین: CVE-2016-3884
  • یورو شائو از دانشگاه میشیگان آن آربور: CVE-2016-3898

سطح وصله امنیتی 01/09/2016—جزئیات آسیب پذیری امنیتی

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-09-2016 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های Nexus به‌روزرسانی‌شده، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم)، و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در LibUtils

یک آسیب‌پذیری اجرای کد از راه دور در LibUtils می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند. این موضوع به دلیل امکان اجرای کد از راه دور در برنامه هایی که از این کتابخانه استفاده می کنند، به عنوان Critical رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3861 A-29250543 [ 2 ] [ 3 ] [ 4 ] بحرانی همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 9 ژوئن 2016

آسیب پذیری اجرای کد از راه دور در Mediaserver

یک آسیب‌پذیری اجرای کد از راه دور در Mediaserver می‌تواند مهاجم را با استفاده از یک فایل خاص ساخته شده قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده‌ها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3862 الف-29270469 بحرانی همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 10 ژوئن 2016

آسیب پذیری اجرای کد از راه دور در MediaMuxer

یک آسیب‌پذیری اجرای کد از راه دور در MediaMuxer می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند. این مشکل به دلیل امکان اجرای کد از راه دور در برنامه ای که از MediaMuxer استفاده می کند، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3863 الف-29161888 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 6 ژوئن 2016

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3870 الف-29421804 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 15 ژوئن 2016
CVE-2016-3871 A-29422022 [ 2 ] [ 3 ] بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 15 ژوئن 2016
CVE-2016-3872 A-29421675 [ 2 ] بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 15 ژوئن 2016

افزایش آسیب پذیری امتیاز در بوت دستگاه

افزایش امتیاز در طول دنباله بوت می تواند یک مهاجم مخرب محلی را قادر سازد تا به حالت امن راه اندازی شود، حتی اگر غیرفعال باشد. این مشکل به‌عنوان High رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از الزامات تعامل کاربر برای هر برنامه‌نویس یا تغییر تنظیمات امنیتی است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3875 الف-26251884 بالا هیچ یک* 6.0، 6.0.1 گوگل داخلی

* دستگاه‌های Nexus پشتیبانی شده در Android 7.0 که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

افزایش آسیب پذیری امتیاز در تنظیمات

افزایش امتیاز در تنظیمات می تواند یک مهاجم مخرب محلی را قادر سازد تا به حالت امن راه اندازی شود، حتی اگر غیرفعال باشد. این مشکل به‌عنوان High رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از الزامات تعامل کاربر برای هر برنامه‌نویس یا تغییر تنظیمات امنیتی است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3876 الف-29900345 بالا همه Nexus 6.0، 6.0.1، 7.0 گوگل داخلی

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3899 الف-29421811 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 16 ژوئن 2016
CVE-2016-3878 الف-29493002 بالا همه نکسوس* 6.0، 6.0.1 17 ژوئن 2016
CVE-2016-3879 الف-29770686 بالا همه نکسوس* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 25 ژوئن 2016
CVE-2016-3880 الف-25747670 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 گوگل داخلی
CVE-2016-3881 الف-30013856 بالا همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 گوگل داخلی

* دستگاه‌های Nexus پشتیبانی شده در Android 7.0 که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

افزایش آسیب پذیری امتیازات در تلفن

افزایش آسیب‌پذیری امتیاز در مؤلفه Telephony می‌تواند یک برنامه مخرب محلی را قادر به ارسال پیام‌های SMS حق بیمه غیرمجاز کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا می‌توان از آن برای به دست آوردن قابلیت‌های بالا بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3883 الف-28557603 در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 3 مه 2016

افزایش آسیب پذیری امتیاز در سرویس مدیر اطلاع رسانی

افزایش آسیب‌پذیری امتیاز در سرویس مدیر اعلان می‌تواند یک برنامه مخرب محلی را قادر به دور زدن حفاظت‌های سیستم عاملی کند که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا یک دور زدن محلی از الزامات تعامل کاربر است، مانند دسترسی به عملکردی که معمولاً به شروع کاربر یا اجازه کاربر نیاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3884 الف-29421441 در حد متوسط همه Nexus 6.0، 6.0.1، 7.0 15 ژوئن 2016

افزایش آسیب پذیری امتیاز در Debuggerd

افزایش آسیب پذیری امتیاز در دیباگر یکپارچه اندروید می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه دیباگر اندروید اجرا کند. این موضوع به دلیل امکان اجرای کد دلخواه محلی در یک فرآیند ممتاز به عنوان شدت متوسط ​​رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3885 الف-29555636 در حد متوسط همه Nexus 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 21 ژوئن 2016

افزایش آسیب پذیری امتیاز در System UI Tuner

افزایش امتیاز در System UI Tuner می تواند یک کاربر مخرب محلی را قادر سازد تا تنظیمات محافظت شده را هنگامی که دستگاه قفل است تغییر دهد. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا یک دور زدن محلی از مجوزهای کاربر است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3886 A-30107438 در حد متوسط همه Nexus 7.0 23 ژوئن 2016

افزایش آسیب پذیری امتیاز در تنظیمات

افزایش آسیب‌پذیری امتیاز در تنظیمات می‌تواند یک برنامه مخرب محلی را قادر به دور زدن حفاظت‌های سیستم عامل برای تنظیمات VPN کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا می‌توان از آن برای دسترسی به داده‌هایی که خارج از سطوح مجوز برنامه هستند استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3887 الف-29899712 در حد متوسط همه Nexus 7.0 گوگل داخلی

افزایش آسیب پذیری امتیاز در پیامک

افزایش آسیب‌پذیری امتیاز در پیامک می‌تواند مهاجم محلی را قادر سازد تا قبل از تهیه دستگاه، پیام‌های SMS ممتاز ارسال کند. به دلیل امکان دور زدن محافظ بازنشانی کارخانه، که باید از استفاده از دستگاه قبل از راه‌اندازی جلوگیری کند، به‌عنوان متوسط ​​رتبه‌بندی می‌شود.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3888 الف-29420123 در حد متوسط همه Nexus 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 گوگل داخلی

افزایش آسیب پذیری امتیاز در تنظیمات

افزایش آسیب پذیری امتیاز در تنظیمات می تواند یک مهاجم محلی را قادر می سازد تا حفاظت بازنشانی کارخانه را دور بزند و به دستگاه دسترسی پیدا کند. به دلیل امکان دور زدن Factory Reset Protection، که می‌تواند منجر به بازنشانی موفقیت‌آمیز دستگاه و پاک کردن تمام داده‌های آن شود، به‌عنوان متوسط ​​رتبه‌بندی می‌شود.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3889 A-29194585 [ 2 ] در حد متوسط همه Nexus 6.0، 6.0.1، 7.0 گوگل داخلی

افزایش آسیب پذیری امتیاز در پروتکل جاوا اشکال زدایی سیم

افزایش آسیب پذیری امتیاز در پروتکل Java Debug Wire می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه یک برنامه کاربردی سیستم بالا اجرا کند. این مشکل به عنوان متوسط ​​رتبه بندی شده است زیرا به پیکربندی دستگاه غیر معمول نیاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3890 A-28347842 [ 2 ] در حد متوسط هیچ یک* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 گوگل داخلی

* دستگاه‌های Nexus پشتیبانی شده در Android 7.0 که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3895 الف-29983260 در حد متوسط همه Nexus 6.0، 6.0.1، 7.0 4 جولای 2016

آسیب پذیری افشای اطلاعات در AOSP Mail

یک آسیب پذیری افشای اطلاعات در AOSP Mail می تواند یک برنامه مخرب محلی را قادر سازد تا به اطلاعات خصوصی کاربر دسترسی پیدا کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا می‌توان از آن برای دسترسی نامناسب به داده‌ها بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3896 الف-29767043 در حد متوسط هیچ یک* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 24 جولای 2016

* دستگاه‌های Nexus پشتیبانی شده در Android 7.0 که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری افشای اطلاعات در وای فای

یک آسیب‌پذیری افشای اطلاعات در پیکربندی Wi-Fi می‌تواند به یک برنامه اجازه دسترسی به اطلاعات حساس را بدهد. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌ها بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3897 A-25624963 [ 2 ] در حد متوسط هیچ یک* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 5 نوامبر 2015

* دستگاه‌های Nexus پشتیبانی شده در Android 7.0 که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری انکار سرویس در تلفن

آسیب پذیری انکار سرویس در مؤلفه Telephony می تواند یک برنامه مخرب محلی را قادر سازد تا از تماس های 911 TTY از صفحه قفل شده جلوگیری کند. این موضوع به دلیل امکان انکار سرویس در یک تابع بحرانی به عنوان متوسط ​​رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-3898 الف-29832693 در حد متوسط همه Nexus 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 28 ژوئن 2016

سطح وصله امنیتی 05/09/2016—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۵-۰۹-۲۰۱۶ اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های Nexus به‌روزرسانی‌شده، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم)، و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

افزایش آسیب پذیری امتیاز در زیرسیستم امنیت هسته

افزایش آسیب پذیری امتیاز در زیرسیستم امنیتی هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2014-9529 الف-29510361

هسته بالادست

بحرانی Nexus 5، Nexus 6، Nexus 9، Nexus Player، Android One 6 ژانویه 2015
CVE-2016-4470 الف-29823941

هسته بالادست

بحرانی Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player 15 ژوئن 2016

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2013-7446 الف-29119002

هسته بالادست

بحرانی Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Android One 18 نوامبر 2015

افزایش آسیب پذیری امتیاز در زیرسیستم نت فیلتر هسته

افزایش آسیب پذیری امتیاز در زیرسیستم فیلتر شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در بافت هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3134 الف-28940694

هسته بالادست

بحرانی Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Android One 9 مارس 2016

افزایش آسیب پذیری امتیاز در درایور USB هسته

افزایش آسیب پذیری امتیاز در درایور USB هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3951 الف-28744625

هسته بالادست [ 2 ]

بحرانی Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Android One 6 آوریل 2016

افزایش آسیب پذیری امتیاز در زیرسیستم صدای کرنل

افزایش آسیب پذیری امتیاز در زیرسیستم صدای هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2014-4655 الف-29916012

هسته بالادست

بالا Nexus 5، Nexus 6، Nexus 9، Nexus Player 26 ژوئن 2014

افزایش آسیب پذیری امتیاز در رمزگشای هسته ASN.1

افزایش آسیب پذیری امتیاز در رمزگشای هسته ASN.1 می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-2053 الف-28751627

هسته بالادست

بالا Nexus 5X، Nexus 6P 25 ژانویه 2016

افزایش آسیب پذیری امتیاز در لایه رابط رادیویی کوالکام

افزایش آسیب پذیری امتیاز در لایه رابط رادیویی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در بافت هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3864 A-28823714*
QC-CR#913117
بالا Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Android One 29 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور زیرسیستم کوالکام

افزایش آسیب پذیری امتیاز در درایور زیرسیستم کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3858 الف-28675151
QC-CR#1022641
بالا Nexus 5X، Nexus 6P 9 مه 2016

افزایش آسیب پذیری امتیاز در درایور شبکه هسته

افزایش آسیب پذیری امتیاز در درایور شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-4805 الف-28979703

هسته بالادست

بالا Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9 15 مه 2016

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3865 A-28799389* بالا Nexus 5X، Nexus 9 16 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام

افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3859 A-28815326*
QC-CR#1034641
بالا Nexus 5، Nexus 5X، Nexus 6، Nexus 6P 17 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور صدای کوالکام

افزایش آسیب پذیری امتیاز در درایور صدای Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3866 A-28868303*
QC-CR#1032820
بالا Nexus 5X، Nexus 6، Nexus 6P 18 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور IPA کوالکام

افزایش آسیب پذیری امتیاز در درایور Qualcomm IPA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3867 A-28919863*
QC-CR#1037897
بالا Nexus 5X، Nexus 6P 21 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور برق کوالکام

افزایش آسیب پذیری امتیاز در درایور برق کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3868 A-28967028*
QC-CR#1032875
بالا Nexus 5X، Nexus 6P 25 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3869 A-29009982*
B-RB#96070
بالا Nexus 5، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C 27 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در سیستم فایل هسته eCryptfs

افزایش آسیب پذیری امتیاز در سیستم فایل هسته eCryptfs می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-1583 الف-29444228
هسته بالادست
بالا پیکسل سی 1 ژوئن 2016

افزایش آسیب پذیری امتیاز در هسته NVIDIA

افزایش آسیب پذیری امتیاز در هسته NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این موضوع به عنوان شدت بالا رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3873 A-29518457*
N-CVE-2016-3873
بالا Nexus 9 20 ژوئن 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3874 الف-29944562
QC-CR#997797 [ 2 ]
بالا Nexus 5X 1 جولای 2016

آسیب پذیری انکار سرویس در زیرسیستم شبکه هسته

آسیب پذیری انکار سرویس در زیرسیستم شبکه هسته می تواند مهاجم را قادر سازد تا دستگاه را قطع یا راه اندازی مجدد کند. این موضوع به دلیل امکان انکار موقت سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2015-1465 الف-29506807

هسته بالادست

بالا Nexus 5، Nexus 6، Nexus 9، Nexus Player، Pixel C، Android One 3 فوریه 2015
CVE-2015-5364 الف-29507402

هسته بالادست

بالا Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Android One 30 ژوئن 2015

آسیب پذیری انکار سرویس در سیستم فایل ext4 هسته

آسیب‌پذیری انکار سرویس در سیستم فایل هسته ext4 می‌تواند مهاجم را قادر به انکار دائمی سرویس محلی کند، که ممکن است برای تعمیر دستگاه نیاز به reflash کردن مجدد سیستم عامل داشته باشد. این موضوع به دلیل امکان انکار دائمی سرویس محلی به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2015-8839 A-28760453* بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Android One 4 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور Qualcomm SPMI

یک آسیب‌پذیری افشای اطلاعات در درایور Qualcomm SPMI می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3892 A-28760543*
QC-CR#1024197
در حد متوسط Nexus 5، Nexus 5X، Nexus 6، Nexus 6P 13 مه 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب‌پذیری افشای اطلاعات در کدک صوتی کوالکام

یک آسیب‌پذیری افشای اطلاعات در کدک صوتی Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3893 الف-29512527
QC-CR#856400
در حد متوسط Nexus 6P 20 ژوئن 2016

آسیب‌پذیری افشای اطلاعات در مؤلفه Qualcomm DMA

یک آسیب‌پذیری افشای اطلاعات در مؤلفه Qualcomm DMA می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-3894 A-29618014*
QC-CR#1042033
در حد متوسط Nexus 6 23 ژوئن 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در زیرسیستم شبکه هسته

یک آسیب پذیری افشای اطلاعات در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-4998 الف-29637687
هسته بالادست [ 2 ]
در حد متوسط Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Android One 24 ژوئن 2016

آسیب پذیری انکار سرویس در زیرسیستم شبکه هسته

آسیب‌پذیری انکار سرویس در زیرسیستم شبکه هسته می‌تواند مهاجم را قادر سازد دسترسی به قابلیت‌های Wi-Fi را مسدود کند. این مشکل به دلیل امکان انکار موقت از راه دور از سرویس قابلیت‌های Wi-Fi به عنوان متوسط ​​رتبه‌بندی می‌شود.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2015-2922 الف-29409847

هسته بالادست

در حد متوسط Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Android One 4 آوریل 2015

آسیب پذیری در اجزای کوالکام

جدول زیر حاوی آسیب‌پذیری‌های امنیتی است که بر اجزای کوالکام تأثیر می‌گذارد، که احتمالاً شامل بوت‌لودر، درایور دوربین، درایور کاراکتر، شبکه، درایور صدا و درایور ویدیو می‌شود.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-2469 QC-CR#997025 بالا هیچ یک ژوئن 2016
CVE-2016-2469 QC-CR#997015 در حد متوسط هیچ یک ژوئن 2016

سطح وصله امنیتی 06/09/2016—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۶-۰۹-۲۰۱۶ اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های Nexus به‌روزرسانی‌شده، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم)، و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

افزایش آسیب پذیری امتیاز در زیرسیستم حافظه مشترک هسته

افزایش آسیب پذیری امتیاز در زیرسیستم حافظه مشترک هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-5340 الف-30652312
QC-CR#1008948
بحرانی Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Android One 26 جولای 2016

افزایش آسیب پذیری امتیاز در مؤلفه شبکه کوالکام

افزایش آسیب پذیری امتیاز در مؤلفه شبکه کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های Nexus به روز شده تاریخ گزارش شده
CVE-2016-2059 الف-27045580
QC-CR#974577
بالا Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Android One 4 فوریه 2016

پرسش ها و پاسخ های متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

سطوح وصله امنیتی 01/09/2016 یا بعد از آن همه مسائل مرتبط با سطح رشته وصله امنیتی 01/09/2016 را بررسی می‌کند. سطوح وصله امنیتی 05/09/2016 یا بعد از آن به تمام مسائل مرتبط با سطح رشته وصله امنیتی 05/09/2016 رسیدگی می‌کند. سطوح وصله امنیتی 06/09/2016 یا بعد از آن، تمام مسائل مرتبط با سطح رشته وصله امنیتی 06/09/2016 را بررسی می‌کند. برای دستورالعمل‌های نحوه بررسی سطح وصله امنیتی به مرکز راهنمایی مراجعه کنید. سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند، باید سطح رشته وصله را روی این موارد تنظیم کنند: [ro.build.version.security_patch]:[01-09-2016], [ro.build.version.security_patch]:[05-09-2016], یا [ro.build.version.security_patch]:[06-09-2016].

2. چرا این بولتن دارای سه رشته سطح وصله امنیتی است؟

این بولتن دارای سه رشته سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های Android مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین رشته سطح وصله امنیتی استفاده کنند.

دستگاه‌هایی که از سطح وصله امنیتی 6 سپتامبر 2016 یا جدیدتر استفاده می‌کنند باید همه وصله‌های قابل‌اجرا در این بولتن‌های امنیتی (و قبلی) را شامل شوند. این سطح وصله برای رسیدگی به مشکلاتی ایجاد شده است که پس از اولین بار اطلاع شرکا از اکثر مشکلات در این بولتن، کشف شدند.

دستگاه‌هایی که از سطح وصله امنیتی 5 سپتامبر 2016 استفاده می‌کنند باید شامل تمام مشکلات مربوط به آن سطح وصله امنیتی، سطح وصله امنیتی 1 سپتامبر 2016 و رفع تمام مشکلات گزارش‌شده در بولتن‌های امنیتی قبلی باشند. دستگاه‌هایی که از سطح وصله امنیتی 5 سپتامبر 2016 استفاده می‌کنند، ممکن است شامل زیرمجموعه‌ای از اصلاحات مرتبط با سطح وصله امنیتی 6 سپتامبر 2016 نیز باشند.

دستگاه‌هایی که از سطح وصله امنیتی 1 سپتامبر 2016 استفاده می‌کنند باید شامل همه مشکلات مرتبط با آن سطح وصله امنیتی و همچنین رفع تمام مشکلات گزارش‌شده در بولتن‌های امنیتی قبلی باشند. دستگاه‌هایی که از سطح وصله امنیتی 1 سپتامبر 2016 استفاده می‌کنند ممکن است شامل زیرمجموعه‌ای از اصلاحات مرتبط با سطوح وصله امنیتی 5 سپتامبر 2016 و 6 سپتامبر 2016 باشند.

3 . چگونه می توانم تشخیص دهم که کدام دستگاه های Nexus تحت تأثیر هر مشکلی هستند؟

در بخش‌های جزئیات آسیب‌پذیری امنیتی 2016-09-01 ، 2016-09-05 ، و 2016-09-06 ، هر جدول دارای یک ستون دستگاه‌های Nexus به‌روزرسانی شده است که محدوده دستگاه‌های Nexus آسیب‌دیده را که برای هر مشکل به‌روزرسانی می‌شوند را پوشش می‌دهد. این ستون چند گزینه دارد:

  • همه دستگاه‌های Nexus : اگر مشکلی بر همه دستگاه‌های Nexus تأثیر بگذارد، جدول «همه Nexus» را در ستون دستگاه‌های Nexus به‌روزشده خواهد داشت. «همه Nexus» دستگاه‌های پشتیبانی‌شده زیر را در بر می‌گیرد: Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 7 (2013)، Nexus 9، Android One، Nexus Player و Pixel C.
  • برخی از دستگاه‌های Nexus : اگر مشکلی بر همه دستگاه‌های Nexus تأثیر نگذارد، دستگاه‌های Nexus آسیب‌دیده در ستون دستگاه‌های Nexus به‌روزرسانی‌شده فهرست می‌شوند.
  • دستگاه Nexus وجود ندارد : اگر هیچ دستگاه Nexus دارای Android 7.0 تحت تأثیر این مشکل قرار نگیرد، جدول «هیچ‌کدام» در ستون دستگاه‌های Nexus به‌روزرسانی شده خواهد بود.

4. ورودی های ستون مراجع به چه چیزی نگاشته می شوند؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. این پیشوندها به صورت زیر ترسیم می شوند:

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

تجدید نظرها

  • 6 سپتامبر 2016: بولتن منتشر شد.
  • 7 سپتامبر 2016: بولتن برای شامل پیوندهای AOSP اصلاح شد.
  • 12 سپتامبر 2016: بولتن برای به روز رسانی انتساب برای CVE-2016-3861 و حذف CVE-2016-3877 اصلاح شد.