بولتن امنیتی اندروید - دسامبر 2016

تاریخ انتشار 14 آذر 1395 | به روز شده در 21 دسامبر 2016

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Google از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 دسامبر 2016 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه به‌روزرسانی Pixel و Nexus مراجعه کنید.

در تاریخ 07 نوامبر 2016 یا قبل از آن، شرکا از مسائل شرح داده شده در بولتن مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات، آسیب‌پذیری‌های امنیتی حیاتی در کدهای خاص دستگاه است که می‌تواند اجرای کد دلخواه را در چارچوب هسته فعال کند، که منجر به احتمال به خطر افتادن دستگاه دائمی محلی می‌شود، که ممکن است برای تعمیر دستگاه نیاز به reflash کردن مجدد سیستم‌عامل داشته باشد. . ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت های پلتفرم امنیتی اندروید و محافظت های خدماتی مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

  • این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌ها را که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/12/2016 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/12/2016 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
    • 05/12/2016 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2016-12-01 و 2016-12-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) بررسی شده‌اند.
  • دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی OTA با سطح وصله امنیتی 05 دسامبر 2016 دریافت خواهند کرد.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های سرویس، مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به‌طور فعال نظارت بر سوء استفاده می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • Baozeng Ding، Chengming Yang، Peng Xiao، Ning You، Yang Dong، Chao Yang، Yi Zhang و Yang Song گروه امنیت موبایل علی بابا: CVE-2016-6783، CVE-2016-6784، CVE-2016-6785
  • چی ژانگ ، مینگجیان ژو ( @Mingjian_Zhou )، چیاچیه وو ( @chiachih_wu )، و ژوکیان جیانگ از تیم C0RE : CVE-2016-6789، CVE-2016-6790
  • کریستین سیل: CVE-2016-6769
  • دیوید بنجامین و کنی روت از گوگل: CVE-2016-6767
  • دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-6776، CVE-2016-6787
  • En He ( @heeeeen4x ) از تیم MS509 : CVE-2016-6763
  • Gengjia Chen ( @chengjia4574pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-6779, CVE-2016-6778, CVE-2016-8401, CVE-2016-8402, CVE-840 CVE-2016-8409، CVE-2016-8408، CVE-2016-8404
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd: CVE-2016-6788, CVE-2016-6781, CVE-2016-6782, CVE-2016-8396
  • Lubo Zhang ، Tong Lin ، Yuan-Tsung Lo ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-6791، CVE-2016-8391، CVE-2016-8392
  • علامت تجاری Project Zero: CVE-2016-6772
  • میخال بدنارسکی : CVE-2016-6770، CVE-2016-6774
  • مینگجیان ژو ( @Mingjian_Zhouچی ژانگ ، چیاچی وو ( @chiachih_wu )، و ژوکیان جیانگ از تیم C0RE : CVE-2016-6761، CVE-2016-6759، CVE-2016-8400
  • Mingjian Zhou ( @Mingjian_Zhou )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-6760
  • Mingjian Zhou ( @Mingjian_Zhou )، Hanxiang Wen ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-6759
  • ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا موتورز: CVE-2016-6915، CVE-2016-6916، CVE-2016-6917
  • تحقیقات امنیت سایبری Nightwatch ( @nightwatchcyber ): CVE-2016-5341
  • پنگفی دینگ (丁鹏飞)، چنفو بائو (包沉浮)، لنکس وی (韦韬) از Baidu X-Lab: CVE-2016-6755، CVE-2016-6756
  • پیتر پی ( @heisecode ) از Trend Micro: CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
  • Qidan He (何淇丹) ( @flanker_hqd ) از KeenLab، Tencent (腾讯科恩实验室): CVE-2016-8399، CVE-2016-8395
  • Qidan He (何淇丹) ( @flanker_hqd ) و مارکو گراسی ( @marcograss ) از KeenLab، Tencent (腾讯科恩实验室): CVE-2016-6768
  • ریچارد شوپاک: CVE-2016-5341
  • Sagi Kedmi از IBM X-Force Research: CVE-2016-8393, CVE-2016-8394
  • سون شن ( @lingtongshen ) از تیم تحقیقاتی تهدید موبایل، Trend Micro Inc.: CVE-2016-6757
  • Weichao Sun ( @sunblate ) از Alibaba Inc.: CVE-2016-6773
  • Wenke Dou ، Chi Zhang ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-6765
  • Wish Wu ( @wish_wu ) (吴潍浠) از تیم پاسخگویی به تهدیدات موبایل ، Trend Micro Inc .: CVE-2016-6704
  • Yuan-Tsung Lo ، Tong Lin ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-6786، CVE-2016-6780، CVE-2016-6775
  • Yuan-Tsung Lo ، Xiaodong Wang ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-6777
  • Yuxiang Li از بخش پلت فرم امنیتی Tencent: CVE-2016-6771
  • ژه جین (金哲) از مرکز پاسخگویی امنیتی چنگدو، Qihoo 360 Technology Co. Ltd.: CVE-2016-6764, CVE-2016-6766
  • زینو هان از مرکز پاسخگویی امنیتی چنگدو از شرکت فناوری Qihoo 360: CVE-2016-6762

همچنین از MengLuo Gou ( @idhyt3r ) از Bottle Tech، یونگ وانگ (王勇) ( @ThomasKing2014 ) و Zubin Mithra از Google برای مشارکت‌هایشان در این بولتن امنیتی تشکر بیشتری می‌کنیم.

سطح وصله امنیتی 01/12/2016—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 2016-12-01 اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در CURL/LIBCURL

جدول حاوی آسیب پذیری های امنیتی است که بر کتابخانه های CURL و LIBCURL تأثیر می گذارد. جدی‌ترین مشکل می‌تواند یک مهاجم مرد میانی را با استفاده از گواهی جعلی قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند. این مشکل به دلیل نیاز مهاجم به گواهی جعلی به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-5419 الف-31271247 بالا همه 7.0 3 اوت 2016
CVE-2016-5420 الف-31271247 بالا همه 7.0 3 اوت 2016
CVE-2016-5421 الف-31271247 بالا همه 7.0 3 اوت 2016

افزایش آسیب پذیری امتیاز در libziparchive

افزایش آسیب پذیری امتیاز در کتابخانه libziparchive می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6762 A-31251826 [ 2 ] بالا همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 28 اوت 2016

آسیب پذیری انکار سرویس در تلفن

آسیب‌پذیری انکار سرویس در Telephony می‌تواند یک برنامه مخرب محلی را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار دائمی سرویس محلی به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6763 الف-31530456 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 12 سپتامبر 2016

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6766 الف-31318219 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 5 سپتامبر 2016
CVE-2016-6765 الف-31449945 بالا همه 4.4.4، 5.0.2، 5.1.1، 7.0 13 سپتامبر 2016
CVE-2016-6764 الف-31681434 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 22 سپتامبر 2016
CVE-2016-6767 الف-31833604 بالا هیچ یک* 4.4.4 گوگل داخلی

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری اجرای کد از راه دور در کتابخانه Framesequence

یک آسیب‌پذیری اجرای کد از راه دور در کتابخانه Framesequence می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند. این مشکل به دلیل امکان اجرای کد از راه دور در برنامه ای که از کتابخانه Framesequence استفاده می کند، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6768 الف-31631842 بالا همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 19 سپتامبر 2016

افزایش آسیب پذیری امتیاز در Smart Lock

افزایش آسیب پذیری امتیاز در Smart Lock می تواند یک کاربر مخرب محلی را قادر سازد تا به تنظیمات Smart Lock بدون پین دسترسی پیدا کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیاز به دسترسی فیزیکی به یک دستگاه قفل نشده دارد که در آن Smart Lock آخرین صفحه تنظیماتی بود که کاربر به آن دسترسی داشت.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6769 الف-29055171 در حد متوسط هیچ یک* 5.0.2، 5.1.1، 6.0، 6.0.1 27 مه 2016

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

افزایش آسیب پذیری امتیاز در Framework API

افزایش آسیب پذیری امتیاز در Framework API می تواند یک برنامه مخرب محلی را قادر به دسترسی به عملکردهای سیستم فراتر از سطح دسترسی خود کند. این موضوع به‌عنوان «متوسط» رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از محدودیت‌ها در یک فرآیند محدود است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6770 الف-30202228 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 16 جولای 2016

افزایش آسیب پذیری امتیازات در تلفن

افزایش آسیب پذیری امتیاز در Telephony می تواند یک برنامه مخرب محلی را قادر سازد تا به عملکردهای سیستم فراتر از سطح دسترسی خود دسترسی پیدا کند. این موضوع به‌عنوان «متوسط» رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از محدودیت‌ها در یک فرآیند محدود است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6771 الف-31566390 در حد متوسط همه 6.0، 6.0.1، 7.0 17 سپتامبر 2016

افزایش آسیب پذیری امتیاز در وای فای

افزایش آسیب پذیری امتیاز در Wi-Fi می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6772 A-31856351 [ 2 ] در حد متوسط همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 30 سپتامبر 2016

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6773 A-30481714 [ 2 ] در حد متوسط همه 6.0، 6.0.1، 7.0 27 جولای 2016

آسیب پذیری افشای اطلاعات در Package Manager

یک آسیب‌پذیری افشای اطلاعات در Package Manager می‌تواند یک برنامه مخرب محلی را قادر به دور زدن حفاظت‌های سیستم عاملی کند که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-6774 الف-31251489 در حد متوسط همه 7.0 29 اوت 2016

سطح وصله امنیتی 05/12/2016—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 2016-12-05 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

افزایش آسیب پذیری امتیاز در زیر سیستم حافظه هسته

افزایش آسیب پذیری امتیاز در زیرسیستم حافظه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-4794 الف-31596597
هسته بالادست [ 2 ]
بحرانی Pixel C، Pixel، Pixel XL 17 آوریل 2016
CVE-2016-5195 الف-32141528
هسته بالادست [ 2 ]
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 12 اکتبر 2016

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی NVIDIA

افزایش آسیب پذیری امتیاز در درایور NVIDIA GPU می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6775 A-31222873*
N-CVE-2016-6775
بحرانی Nexus 9 25 اوت 2016
CVE-2016-6776 A-31680980*
N-CVE-2016-6776
بحرانی Nexus 9 22 سپتامبر 2016
CVE-2016-6777 A-31910462*
N-CVE-2016-6777
بحرانی Nexus 9 3 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در هسته

افزایش آسیب پذیری امتیاز در هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2015-8966 الف-31435731
هسته بالادست
بحرانی هیچ یک* 10 سپتامبر 2016

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA

افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6915 A-31471161*
N-CVE-2016-6915
بحرانی Nexus 9 13 سپتامبر 2016
CVE-2016-6916 A-32072350*
N-CVE-2016-6916
بحرانی Nexus 9، Pixel C 13 سپتامبر 2016
CVE-2016-6917 A-32072253*
N-CVE-2016-6917
بحرانی Nexus 9 13 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور هسته ION

افزایش آسیب پذیری امتیاز در درایور هسته ION می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-9120 الف-31568617
هسته بالادست
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel C، Nexus Player 16 سپتامبر 2016

آسیب پذیری در اجزای کوالکام

آسیب‌پذیری‌های زیر بر اجزای Qualcomm تأثیر می‌گذارد و در بولتن امنیتی نوامبر 2015 Qualcomm AMSS با جزئیات بیشتر توضیح داده شده است.

CVE منابع شدت* دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8411 A-31805216** بحرانی Nexus 6، Nexus 6P، Android One کوالکام داخلی

* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.

** پچ مربوط به این مشکل در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در سیستم فایل هسته

افزایش آسیب پذیری امتیاز در سیستم فایل هسته می تواند یک برنامه مخرب محلی را قادر به دور زدن حفاظت های سیستم عاملی کند که داده های برنامه را از سایر برنامه ها جدا می کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2014-4014 الف-31252187
هسته بالادست
بالا Nexus 6، Nexus Player 10 ژوئن 2014

افزایش آسیب پذیری امتیاز در هسته

افزایش آسیب پذیری امتیاز در هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این موضوع به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به بهره برداری از یک آسیب پذیری جداگانه دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2015-8967 الف-31703084
هسته بالادست
بالا Nexus 5X، Nexus 6P، Nexus 9، Pixel C، Pixel، Pixel XL 8 ژانویه 2015

افزایش آسیب پذیری امتیاز در درایور کدک صدای HTC

افزایش آسیب پذیری امتیاز در درایور کدک صدای HTC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6778 A-31384646* بالا Nexus 9 25 فوریه 2016
CVE-2016-6779 A-31386004* بالا Nexus 9 25 فوریه 2016
CVE-2016-6780 A-31251496* بالا Nexus 9 30 اوت 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور مدیاتک

افزایش آسیب پذیری امتیاز در درایور MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6492 الف-28175122
MT-ALPS02696413
بالا هیچ یک* 11 آوریل 2016
CVE-2016-6781 الف-31095175
MT-ALPS02943455
بالا هیچ یک* 22 اوت 2016
CVE-2016-6782 الف-31224389
MT-ALPS02943506
بالا هیچ یک* 24 اوت 2016
CVE-2016-6783 الف-31350044
MT-ALPS02943437
بالا هیچ یک* 6 سپتامبر 2016
CVE-2016-6784 الف-31350755
MT-ALPS02961424
بالا هیچ یک* 6 سپتامبر 2016
CVE-2016-6785 الف-31748056
MT-ALPS02961400
بالا هیچ یک* 25 سپتامبر 2016

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

افزایش آسیب پذیری امتیاز در کدک های رسانه ای کوالکام

افزایش آسیب پذیری امتیاز در کدک های رسانه ای کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6761 الف-29421682*
QC-CR#1055792
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 16 ژوئن 2016
CVE-2016-6760 A-29617572*
QC-CR#1055783
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 23 ژوئن 2016
CVE-2016-6759 A-29982686*
QC-CR#1055766
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 4 جولای 2016
CVE-2016-6758 A-30148882*
QC-CR#1071731
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 13 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام

افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6755 الف-30740545
QC-CR#1065916
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 3 اوت 2016

افزایش آسیب پذیری امتیاز در زیر سیستم عملکرد هسته

افزایش آسیب پذیری امتیاز در زیرسیستم عملکرد هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6786 A-30955111 هسته بالادست بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 18 اوت 2016
CVE-2016-6787 A-31095224 هسته بالادست بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 22 اوت 2016

افزایش آسیب پذیری امتیاز در درایور MediaTek I2C

افزایش آسیب پذیری امتیاز در درایور MediaTek I2C می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6788 الف-31224428
MT-ALPS02943467
بالا هیچ یک* 24 اوت 2016

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

افزایش آسیب پذیری امتیاز در کتابخانه NVIDIA libomx

افزایش آسیب پذیری امتیاز در کتابخانه NVIDIA libomx (libnvomx) می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6789 A-31251973*
N-CVE-2016-6789
بالا پیکسل سی 29 اوت 2016
CVE-2016-6790 A-31251628*
N-CVE-2016-6790
بالا پیکسل سی 28 اوت 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور صدای کوالکام

افزایش آسیب پذیری امتیاز در درایور صدای Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6791 الف-31252384
QC-CR#1071809
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 31 اوت 2016
CVE-2016-8391 الف-31253255
QC-CR#1072166
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 31 اوت 2016
CVE-2016-8392 الف-31385862
QC-CR#1073136
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 8 سپتامبر 2016

افزایش آسیب پذیری امتیاز در زیرسیستم امنیت هسته

افزایش آسیب پذیری امتیاز در زیرسیستم امنیتی هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2015-7872 الف-31253168
هسته بالادست
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel، Pixel XL 31 اوت 2016

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8393 A-31911920* بالا Nexus 5X، Nexus 6P، Nexus 9، Android One، Pixel، Pixel XL 8 سپتامبر 2016
CVE-2016-8394 A-31913197* بالا Nexus 9، Android One 8 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2014-9909 الف-31676542
B-RB#26684
بالا هیچ یک* 21 سپتامبر 2016
CVE-2014-9910 الف-31746399
B-RB#26710
بالا هیچ یک* 26 سپتامبر 2016

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری افشای اطلاعات در درایور ویدیوی مدیاتک

یک آسیب‌پذیری افشای اطلاعات در درایور ویدیوی MediaTek می‌تواند یک برنامه مخرب محلی را قادر سازد تا به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8396 الف-31249105 بالا هیچ یک* 26 اوت 2016

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب‌پذیری افشای اطلاعات در درایور ویدیوی NVIDIA

یک آسیب‌پذیری افشای اطلاعات در درایور ویدیوی NVIDIA می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8397 A-31385953*
N-CVE-2016-8397
بالا Nexus 9 8 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

آسیب پذیری انکار سرویس در GPS

آسیب پذیری انکار سرویس در مؤلفه GPS کوالکام می تواند یک مهاجم راه دور را قادر سازد تا دستگاه را قطع یا راه اندازی مجدد کند. این موضوع به دلیل امکان انکار موقت سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-5341 A-31470303* بالا Nexus 6، Nexus 5X، Nexus 6P، Nexus 9، Android One، Pixel، Pixel XL 21 ژوئن 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

آسیب پذیری انکار سرویس در درایور دوربین NVIDIA

آسیب‌پذیری انکار سرویس در درایور دوربین NVIDIA می‌تواند مهاجم را قادر به انکار دائمی سرویس محلی کند که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد. این موضوع به دلیل امکان انکار دائمی سرویس محلی به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8395 A-31403040*
N-CVE-2016-8395
بالا پیکسل سی 9 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و بهینه‌سازی‌های کامپایلر فعلی دسترسی به کد آسیب‌پذیر را محدود می‌کند.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8399 A-31349935* در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 5 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در اجزای کوالکام

یک آسیب‌پذیری افشای اطلاعات در اجزای Qualcomm از جمله درایور دوربین و درایور ویدیو می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-6756 الف-29464815
QC-CR#1042068 [ 2 ]
در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 17 ژوئن 2016
CVE-2016-6757 الف-30148242
QC-CR#1052821
در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL 13 جولای 2016

آسیب پذیری افشای اطلاعات در کتابخانه NVIDIA librm

یک آسیب‌پذیری افشای اطلاعات در کتابخانه NVIDIA librm (libnvrm) می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8400 A-31251599*
N-CVE-2016-8400
در حد متوسط پیکسل سی 29 اوت 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در اجزای هسته

یک آسیب‌پذیری افشای اطلاعات در اجزای هسته از جمله زیرسیستم ION، Binder، درایور USB و زیرسیستم شبکه می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8401 A-31494725* در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 13 سپتامبر 2016
CVE-2016-8402 A-31495231* در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 13 سپتامبر 2016
CVE-2016-8403 A-31495348* در حد متوسط Nexus 9 13 سپتامبر 2016
CVE-2016-8404 A-31496950* در حد متوسط Nexus 9 13 سپتامبر 2016
CVE-2016-8405 A-31651010* در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 21 سپتامبر 2016
CVE-2016-8406 A-31796940* در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 27 سپتامبر 2016
CVE-2016-8407 A-31802656* در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 28 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

آسیب‌پذیری افشای اطلاعات در درایور ویدیوی NVIDIA

یک آسیب‌پذیری افشای اطلاعات در درایور ویدیوی NVIDIA می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8408 A-31496571*
N-CVE-2016-8408
در حد متوسط Nexus 9 13 سپتامبر 2016
CVE-2016-8409 A-31495687*
N-CVE-2016-8409
در حد متوسط Nexus 9 13 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور صدای کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور صدای Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8410 الف-31498403
QC-CR#987010
در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Android One گوگل داخلی

پرسش ها و پاسخ های متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی Pixel و Nexus را بخوانید.

  • سطوح وصله امنیتی 2016-12-01 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 2016-12-01 را برطرف می کند.
  • سطوح وصله امنیتی 2016-12-05 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 2016-12-05 و تمام سطوح وصله قبلی را برطرف می کند.

سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:

  • [ro.build.version.security_patch]:[01-12-2016]
  • [ro.build.version.security_patch]:[05-12-2016]

2. چرا این بولتن دارای دو سطح وصله امنیتی است؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.

  • دستگاه‌هایی که از سطح وصله امنیتی 1 دسامبر 2016 استفاده می‌کنند باید شامل تمام مشکلات مرتبط با آن سطح وصله امنیتی، و همچنین رفع تمام مشکلات گزارش‌شده در بولتن‌های امنیتی قبلی باشند.
  • دستگاه‌هایی که از سطح وصله امنیتی 5 دسامبر 2016 یا جدیدتر استفاده می‌کنند باید همه وصله‌های قابل‌اجرا در این بولتن‌های امنیتی (و قبلی) را شامل شوند.

شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.

3. چگونه می توانم تشخیص دهم که کدام دستگاه های Google تحت تأثیر هر مشکلی هستند؟

در بخش‌های جزئیات آسیب‌پذیری امنیتی 2016-12-01 و 2016-12-05 ، هر جدول دارای یک ستون دستگاه‌های Google به‌روزرسانی شده است که محدوده دستگاه‌های آسیب‌دیده Google را که برای هر مشکل به‌روزرسانی می‌شوند، پوشش می‌دهد. این ستون چند گزینه دارد:

  • همه دستگاه‌های Google : اگر مشکلی روی دستگاه‌های All و Pixel تأثیر بگذارد، جدول «همه» را در ستون دستگاه‌های به‌روزرسانی‌شده Google خواهد داشت. «همه» دستگاه‌های پشتیبانی‌شده زیر را در بر می‌گیرد: Nexus 5، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel C، Pixel، و Pixel XL.
  • برخی از دستگاه‌های Google : اگر مشکلی بر همه دستگاه‌های Google تأثیر نمی‌گذارد، دستگاه‌های Google آسیب‌دیده در ستون دستگاه‌های Google به‌روزرسانی شده فهرست می‌شوند.
  • هیچ دستگاه Google : اگر هیچ دستگاه Google دارای Android نسخه 7.0 تحت تأثیر این مشکل قرار نگیرد، جدول «هیچکدام» در ستون دستگاه‌های به‌روزرسانی شده Google خواهد داشت.

4. ورودی های ستون مراجع به چه چیزی نگاشته می شوند؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. این پیشوندها به صورت زیر ترسیم می شوند:

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

تجدید نظرها

  • 5 دسامبر 2016: بولتن منتشر شد.
  • 07 دسامبر 2016: بولتن برای شامل پیوندهای AOSP و انتساب به روز شده برای CVE-2016-6915، CVE-2016-6916 و CVE-2016-6917 اصلاح شد.
  • 21 دسامبر 2016: اشتباهات املایی در توضیحات CVE-2016-8411 و سؤالات و پاسخ های رایج تصحیح شده است.