تاريخ النشر: 6 آذار (مارس) 2017 | تاريخ التعديل: 7 آذار (مارس) 2017
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. إلى جانب نشر هذه النشرة، أصدرنا تحديثًا لأمان أجهزة Google من خلال تحديث عبر شبكة غير سلكية (OTA). تم أيضًا طرح صور ملف التمهيد لأجهزة Google على موقع "مطوّرو تطبيقات Google". تعالج مستويات تصحيحات الأمان في 5 آذار (مارس) 2017 أو الإصدارات الأحدث كل هذه المشاكل. يمكنك الرجوع إلى جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان على الجهاز.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة بتاريخ 6 شباط (فبراير) 2017 أو قبل ذلك. تم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) ويمكن الوصول إليها من خلال هذا الإشعار. تتضمّن هذه النشرة أيضًا روابط إلى تصحيحات خارج إطار AOSP.
إنّ أخطر هذه المشاكل هي ثغرة أمنية خطيرة يمكن أن تؤدي إلى تفعيل تنفيذ الرموز البرمجية عن بُعد على جهاز متأثر من خلال طُرق متعدّدة، مثل البريد الإلكتروني وتصفّح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يستند تقييم الخطورة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى قسم الحماية من هجمات أمان Android وخدمات Google للاطّلاع على تفاصيل حول الحماية من هجمات أمان نظام Android وحماية الخدمات، مثل SafetyNet، التي تحسِّن من أمان نظام Android الأساسي.
وننصحك بقبول هذه التحديثات على أجهزتك.
الإشعارات
- تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان من أجل منح شركاء Android
مرونة أكبر في إصلاح مجموعة فرعية من الثغرات الأمنية
المشابهة على جميع أجهزة Android بشكل أسرع. يمكنك الاطّلاع على الأسئلة الشائعة والإجابات عنها للحصول على
معلومات إضافية:
- 2017-03-01: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة ملف تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01-03-2017 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- 2017-03-05: سلسلة كاملة لمستوى رمز تصحيح الأمان تشير سلسلة ملف تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بكل من 2017-03-01 و2017-03-05 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- ستتلقّى أجهزة Google المتوافقة تحديثًا واحدًا عبر شبكة غير سلكية يتضمّن مستوى تصحيح الأمان بتاريخ 5 آذار (مارس) 2017.
تدابير التخفيف من مخاطر خدمات Android وGoogle
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- إنّ استغلال العديد من المشاكل على Android أصبح أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. وننصحك جميع المستخدمين بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يراقب فريق أمان Android الاستخدام المسيء للتطبيقات من خلال التحقّق من التطبيقات وSafetyNet، اللذَين تم تصميمهما لتحذير المستخدمين من التطبيقات التي قد تكون ضارة. تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا على الأجهزة التي تعمل بـ خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبتون التطبيقات من خارج Google Play. يُحظر استخدام أدوات برمجة التطبيقات لمنح أذونات الوصول إلى الجذر على Google Play، ولكن تحذّر ميزة "التحقّق من التطبيقات" المستخدمين عند محاولة تثبيت تطبيق تم رصده يمنح أذونات الوصول إلى الجذر، بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة "التحقق من التطبيقات" تحديد وتثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة تتعلّق بتعزيز الأذونات وحظرها. إذا سبق تثبيت تطبيق مماثل، ستُرسِل ميزة "التحقّق من التطبيقات" إشعارًا إلى المستخدم وستحاول إزالة التطبيق الذي تم رصده.
- لا تُرسِل تطبيقات Google Hangouts وMessenger الوسائط تلقائيًا إلى عمليات مثل Mediaserver، وذلك حسب الاقتضاء.
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- ألكسندر بوتابينكوف من فريق أدوات Google الديناميكية: CVE-2017-0537
- Baozeng Ding وChengming Yang وPeng Xiao وYang Song من Alibaba Mobile مجموعة الأمان: CVE-2017-0506
- Baozeng Ding وNing You وChengming Yang وPeng Xiao وYang Song من Alibaba Mobile Security Group: CVE-2017-0463
- "بيلي لاو"، فريق أمان Android: CVE-2017-0335 وCVE-2017-0336 وCVE-2017-0338 CVE-2017-0460
- derrek (@derrekr6): CVE-2016-8413، CVE-2016-8477، CVE-2017-0531
- derrek (@derrekr6) وScott Bauer (@ScottyBauer1): CVE-2017-0521
- دي شين (@returnsme) من KeenLab (@keen_lab)، Tencent: CVE-2017-0334، CVE-2017-0456، CVE-2017-0457، CVE-2017-0525
- "إن هي" (@heeeeen4x) وبو ليو من MS509Team: CVE-2017-0490
- "جينجيا تشين" (@chengjia4574) و"بي جي إف" (pjf) من مختبر IceSword، شركة Qihoo 360 Technology Co. Ltd.: CVE-2017-0500 وCVE-2017-0501 وCVE-2017-0502 وCVE-2017-0503 CVE-2017-0509 وCVE-2017-0524 وCVE-2017-0529 وCVE-2017-0536
- هاو تشين وغوانغ غون من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd.: CVE-2017-0453 وCVE-2017-0461 وCVE-2017-0464
- "هيروكي ياماموتو" و"فانغ تشين" من شركة Sony Mobile Communications Inc.: CVE-2017-0481
- الباحثان في IBM Security X-Force، ساغي كيدمي وروي هاي: CVE-2017-0510
- جيانجون داي (@Jioun_dai) من Qihoo 360 Skyeye Labs: CVE-2017-0478
- جيانكينغ تشاو (@jianqiangzhao) وpjf من مختبر IceSword، Qihoo 360: CVE-2016-8416، CVE-2016-8478، CVE-2017-0458، CVE-2017-0459، CVE-2017-0518، CVE-2017-0519، CVE-2017-0533، CVE-2017-0534
- Lubo Zhang وTong Lin وYuan-Tsung Lo وXuxian Jiang من فريق C0RE: CVE-2016-8479
- ماكوتو أونوكي من Google: CVE-2017-0491
- مينغيان تشو (@Mingjian_Zhou) وهانكسيان وين وشيكسيان جيانغ من فريق C0RE: CVE-2017-0479 وCVE-2017-0480
- "ناثان كراندال" (@natecray): CVE-2017-0535
- "ناثان كراندال" (@natecray) من فريق أمان منتجات Tesla Motors: CVE-2017-0306
- Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬) من Baidu X-Lab (百度安全实验室): CVE-2016-8417
- كيدان هي (何淇丹) (@flanker_hqd) من KeenLab، Tencent: CVE-2017-0337 وCVE-2017-0476
- تشينغ تشانغ من Qihoo 360 وغواندونغ باي من معهد تكنولوجيا سنغافورة (SIT): CVE-2017-0496
- Quhe وwanchouchou من مختبر الأمان Light-Year في Ant-financial (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
- Sahara لأمان المراسلات في DarkMatter: CVE-2017-0528
- "سالز" (@chris_salls) من فريق Shellphish Grill، جامعة كاليفورنيا في سانتا باربرا: CVE-2017-0505
- سكوت باور (@ScottyBauer1): CVE-2017-0504، CVE-2017-0516
- "شون بوبري" (beaups): CVE-2017-0455
- Seven Shen (@lingtongshen) من Trend Micro: CVE-2017-0452
- شينيشي ماتسوموتو من Fujitsu: CVE-2017-0498
- ستيفان ماركيز من ByteRev: CVE-2017-0489
- سفيتلاف غانوف من Google: CVE-2017-0492
- تونغ لين ويوان-تسونغ لو وشيكسيان جيان من فريق C0RE: CVE-2017-0333
- V.E.O (@VYSEa) من فريق الاستجابة للتهديدات على الأجهزة الجوّالة في Trend Micro: CVE-2017-0466 وCVE-2017-0467 وCVE-2017-0468 وCVE-2017-0469 وCVE-2017-0470 وCVE-2017-0471 وCVE-2017-0472 وCVE-2017-0473 وCVE-2017-0482 وCVE-2017-0484 وCVE-2017-0485 وCVE-2017-0486 وCVE-2017-0487 وCVE-2017-0494 وCVE-2017-0495
- Wish Wu (吴潍浠 此彼) (@wish_wu) من Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
- يو بان من فريق Vulpecker، شركة Qihoo 360 Technology Co. Ltd: CVE-2017-0517، CVE-2017-0532
- Yuan-Tsung Lo وXuxian Jiang من فريق C0RE: CVE-2017-0526 وCVE-2017-0527
- يو كي لو (@nikos233) ووينكي دو ودا تشنغ شاو ومينغيان تشو (@Mingjian_Zhou) وشيكسيان جيان من فريق C0RE: CVE-2017-0483
- "زينو هاني" (weibo.com/ele7enxxh) من مركز الاستجابة الأمنية في تشنغدو، شركة Qihoo 360 Technology Co. Ltd.: CVE-2017-0475 وCVE-2017-0497
مستوى رمز تصحيح الأمان في 1 آذار (مارس) 2017: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 1 آذار (مارس) 2017. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمراجع المرتبط بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ الرموز البرمجية عن بُعد في OpenSSL وBoringSSL
يمكن أن تؤدي ثغرة أمنية في OpenSSL وBoringSSL تتيح تنفيذ رموز برمجية عن بُعد إلى تمكّن أحدهم من استخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة الملفات والبيانات. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب إمكانية تنفيذ رمز عن بُعد في سياق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | حرِج | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 5 آب (أغسطس) 2016 |
ثغرة تنفيذ رمز عن بُعد في Mediaserver
يمكن أن تسمح ثغرة أمنية لتنفيذ رموز برمجية عن بُعد في Mediaserver لمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمز عن بُعد في سياق عملية Mediaserver.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [2] | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 25 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0467 | A-33250932 [2] | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 30 تشرين الثاني/نوفمبر 2016 |
| CVE-2017-0468 | A-33351708 [2] | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 5 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0469 | A-33450635 | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 8 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0470 | A-33818500 | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 21 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0471 | A-33816782 | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 21 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0472 | A-33862021 | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 23 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0473 | A-33982658 | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 30 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0474 | A-32589224 | حرِج | الكل | 7.0 و7.1.1 | Google فقط |
ثغرة أمنية في أداة التحقّق من إمكانية الاسترداد تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في أداة التحقّق من الاسترداد إلى السماح لتطبيق محلي ضارٍ بتنفيذ رمز عشوائي في سياق ملف التمهيد. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | حرِج | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 2 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في AOSP تؤدي إلى تنفيذ رمز عن بُعد في ميزة "الرسائل"
يمكن أن تؤدي ثغرة أمنية في AOSP Messaging تتيح تنفيذ رموز برمجية عن بُعد إلى تمكّن أحدهم من استخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة ملف وسائط وبيانات. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب إمكانية تنفيذ رمز عن بُعد في سياق عملية غير مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0476 | A-33388925 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 6 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية في libgdx تتيح تنفيذ رمز عن بُعد
يمكن أن تسمح ثغرة أمنية في libgdx لتنفيذ رمز برمجي عن بُعد لأحد المهاجمين باستخدام ملف مصمّم خصيصًا لتنفيذ رمز عشوائي في سياق عملية غير مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمال تنفيذ رمز عن بُعد في تطبيق يستخدم هذه المكتبة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-33621647 | عالية | الكل | 7.1.1 | 14 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية في مكتبة Framesequence تؤدي إلى تنفيذ رمز برمجي عن بُعد
يمكن أن تؤدي ثغرة أمنية في تنفيذ الرموز البرمجية عن بُعد في مكتبة Framesequence إلى تمكين أحد المهاجمين باستخدام ملف مصمّم خصيصًا من تنفيذ رمز عشوائي في سياق عملية غير مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية تنفيذ رمز عن بُعد في تطبيق يستخدم مكتبة Framesequence.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0478 | A-33718716 | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 16 كانون الأول (ديسمبر) 2016 |
ثغرة تصعيد الامتيازات في تقنية NFC
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في تقنية NFC إلى تمكين مهاجمة قريب من تنفيذ رمز عشوائي في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0481 | A-33434992 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 6 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في Audioserver تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في Audioserver إلى تمكين تطبيق محلي ضار من تنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "مرتفعة" لأنّه يمكن استخدامها للحصول على إذن بالوصول على الجهاز إلى ميزات متقدّمة لا يمكن الوصول إليها عادةً من خلال تطبيق تابع لجهة خارجية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [2] | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 7 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0480 | A-32705429 [2] | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 7 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في Mediaserver تؤدي إلى حجب الخدمة
يمكن أن تسمح ثغرة رفض الخدمة في Mediaserver للمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها ذات خطورة عالية بسبب احتمالية حدوث هجمات حجب الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [2] [3] [4] [5] [6] | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 22 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0483 | A-33137046 [2] | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 24 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0484 | A-33298089 [2] | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 1 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0485 | A-33387820 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 6 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0486 | A-33621215 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 14 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0487 | A-33751193 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 19 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0488 | A-34097213 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | Google فقط |
ثغرة أمنية في "مدير الموقع الجغرافي" تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى رفع مستوى الأذونات في "مدير الموقع الجغرافي" إلى السماح لتطبيق محلي ضار بتجاوز إجراءات الحماية في نظام التشغيل لبيانات تحديد الموقع الجغرافي. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّه يمكن استخدامها لإنشاء data غير دقيقة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 20 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في شبكة Wi-Fi تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي إحدى الثغرات الأمنية المتعلّقة برفع مستوى الأذونات في شبكة Wi-Fi إلى تمكين تطبيق محلي ضار من حذف بيانات المستخدمين. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّها تؤدي إلى تجاوز متطلبات تفاعل المستخدم على الجهاز، والتي تتطلّب عادةً إما بدء المستخدم للتفاعل أو الحصول على إذن منه.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [2] [3] | متوسط | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 25 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في Package Manager تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في "مدير الحِزم" إلى السماح لتطبيق محلي ضار بمنع المستخدمين من إلغاء تثبيت التطبيقات أو إزالة الأذونات من التطبيقات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يتم تجاوز متطلبات تفاعل المستخدم محليًا.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | Google فقط |
ثغرة تصعيد الأذونات في System UI
يمكن أن تؤدي ثغرة أمنية في واجهة المستخدم للنظام إلى منح تطبيق محلي ضار صلاحية إنشاء تراكب واجهة مستخدم يغطي الشاشة بالكامل. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تؤدي إلى تجاوز متطلبات التفاعل مع المستخدم محليًا، والتي تتطلّب عادةً بدء المستخدم أو إذن المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | متوسط | الكل | 7.1.1 | Google فقط |
ثغرة أمنية في AOSP تؤدي إلى الإفصاح عن المعلومات الرسائل
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الكشف عن المعلومات في AOSP Messaging إلى تمكين مهاجمة عن بُعد باستخدام ملف مصمّم خصيصًا من الوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى data الحساسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0494 | A-32764144 | متوسط | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 9 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في Mediaserver
يمكن أن تؤدي إحدى نقاط الضعف في Mediaserver إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | متوسط | الكل | 6.0 و6.0.1 و7.0 و7.1.1 | 11 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية في هجوم حجب الخدمة في معالج الإعداد
يمكن أن تسمح إحدى الثغرات الأمنية لرفض الخدمة في "معالج الإعداد" لتطبيق محلي ضار بحظر الوصول مؤقتًا إلى جهاز متأثر. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها قد تتطلّب إعادة ضبط الجهاز على الإعدادات الأصلية لإصلاحه.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | متوسط | لا شيء** | 5.0.2 و5.1.1 و6.0 و6.0.1 | 14 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى حجب الخدمة في Mediaserver
يمكن أن تسمح ثغرة رفض الخدمة في Mediaserver للمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب ضبط إعدادات غير شائعة على الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | متوسط | الكل | 7.0 و7.1.1 | 2 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية في هجوم حجب الخدمة في معالج الإعداد
يمكن أن تسمح إحدى الثغرات الأمنية لرفض الخدمة في معالج الإعداد لمهاجم محلي بطلب تسجيل الدخول إلى حساب Google بعد إعادة الضبط على الإعدادات الأصلية. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها قد تتطلّب إعادة ضبط الجهاز على الإعدادات الأصلية لإصلاحه.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [2] | متوسط | الكل | 5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | Google فقط |
ثغرة أمنية تؤدي إلى حجب الخدمة في Audioserver
يمكن أن تؤدي ثغرة الخدمة في Audioserver إلى السماح لتطبيق محلي ضار بتعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها منخفضة الخطورة بسبب احتمال حدوث هجمات حجب الخدمة مؤقتًا.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | ضعيفة | الكل | 5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 11 تشرين الأول (أكتوبر) 2016 |
مستوى رمز تصحيح الأمان في 05/03/2017: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 05-03-2017. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمراجع المرتبط بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في مكونات MediaTek تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في مكونات MediaTek، بما في ذلك برنامج تشغيل M4U وبرنامج تشغيل الصوت وبرنامج تشغيل الشاشة التي تعمل باللمس وبرنامج تشغيل وحدة معالجة الرسومات وبرنامج تشغيل "قائمة الأوامر"، إلى تمكين تطبيق ضار على الجهاز من تنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية اختراق الجهاز بشكل دائم على المستوى المحلي، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 |
حرِج | لا شيء** | 27 نيسان (أبريل) 2016 |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 |
حرِج | لا شيء** | 27 نيسان (أبريل) 2016 |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 |
حرِج | لا شيء** | 27 نيسان (أبريل) 2016 |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 |
حرِج | لا شيء** | 28 نيسان (أبريل) 2016 |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 |
حرِج | لا شيء** | 9 تموز (يوليو) 2016 |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 |
حرِج | لا شيء** | 28 أيلول (سبتمبر) 2016 |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 |
حرِج | لا شيء** | 18 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في تصعيد الامتيازات في برنامج تشغيل وحدة معالجة الرسومات من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 |
حرِج | Pixel C | 6 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 |
حرِج | Pixel C | 21 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 |
حرِج | Pixel C | 25 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 |
حرِج | Nexus 9 | 6 كانون الثاني (يناير) 2017 |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 |
حرِج | Pixel C | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في عملية تصعيد الأذونات في ملف ION الفرعي لنظام التشغيل
يمكن أن تؤدي ثغرة أمنية في نظام التشغيل ION الفرعي للنواة إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | حرِج | Android One وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C وPixel وPixel XL | 6 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0508 | A-33940449* | حرِج | Pixel C | 28 كانون الأول (ديسمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 |
حرِج | لا شيء** | 12 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في ميزة تصعيد الأذونات في أداة تصحيح أخطاء FIQ للنواة
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في أداة تصحيح أخطاء FIQ الخاصة بالنواة إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | حرِج | Nexus 9 | 25 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في "برنامج تشغيل وحدة معالجة الرسومات" من Qualcomm تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات من Qualcomm إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 |
حرِج | Android One وNexus 5X وNexus 6 وNexus 6P وPixel وPixel XL | 29 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
تصعيد الأذونات الثغرة الأمنية في النظام الفرعي لشبكة kernel
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في النظام الفرعي للاتصال بالشبكة في kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-9806 | A-33393474 النواة من المصدر |
حرِج | Pixel C وPixel وPixel XL | 4 كانون الأول (ديسمبر) 2016 |
| CVE-2016-10200 | A-33753815 النواة من المصدر |
حرِج | Nexus 5X وNexus 6P وPixel وPixel XL | 19 كانون الأول (ديسمبر) 2016 |
ثغرات أمنية في مكونات Qualcomm
تؤثر الثغرة التالية في مكونات Qualcomm، ويتم وصفها في مزيد من التفاصيل في نشرة أمان Qualcomm AMSS لشهر أيلول (سبتمبر) 2016.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8485 | A-28823681** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8486 | A-28823691** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8487 | A-28823724** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-8488 | A-31625756** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
* حدّد المورّد تقييم الخطورة لهذه الثغرات.
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
*** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
تصعيد الأذونات الثغرة الأمنية في النظام الفرعي لشبكة kernel
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في النظام الفرعي للاتصال بالشبكة في kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8655 | A-33358926 النواة الأساسية |
عالية | Android One وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C وPixel وPixel XL | 12 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-9793 | A-33363517 النواة من المصدر |
عالية | Android One وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C وPixel وPixel XL | 2 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية تتعلّق برفع الامتيازات في برنامج تشغيل أجهزة الإدخال من Qualcomm
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل أجهزة الإدخال من Qualcomm إلى تمكين تطبيق ضار على الجهاز من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 |
عالية | Android One وPixel وPixel XL | 21 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تتعلّق برفع مستوى الأذونات في برنامج تشغيل أجهزة الاستشعار من MediaTek
هناك ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل أجهزة الاستشعار من MediaTek، ويمكن أن تسمح هذه الثغرة لتطبيق ضار محلي بتنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 |
عالية | لا شيء** | 22 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في ملف التمكين Qualcomm ADSPRPC
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في برنامج تشغيل Qualcomm ADSPRPC إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 |
عالية | Nexus 5X وNexus 6P وPixel وPixel XL | 22 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة تتعلّق برفع مستوى الامتيازات في برنامج تشغيل مستشعر بصمة الإصبع من Qualcomm
يمكن أن تؤدي ثغرة أمنية في أداة تحكّم أداة استشعار بصمة الإصبع من Qualcomm إلى السماح لتطبيق ضار على الجهاز بتنفيذ رمز برمجي عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها أولاً تتطلّب اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 |
عالية | Pixel وPixel XL | 24 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 |
عالية | Pixel وPixel XL | 24 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
تصعيد الامتيازات الثغرة الأمنية في برنامج تشغيل محرك التشفير من Qualcomm
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل محرك التشفير من Qualcomm إلى تمكين تطبيق ضار على الجهاز من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 24 أيلول (سبتمبر) 2016 |
ثغرة أمنية في ملف التمكين في برنامج تشغيل كاميرا Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل كاميرا Qualcomm لرفع مستوى الأذونات إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 |
عالية | Pixel وPixel XL | 31 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 |
عالية | هواتف Nexus 5X وNexus 6P وAndroid One وPixel وPixel XL | 15 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في MediaTek APK تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في حزمة APK من MediaTek إلى تمكين تطبيق محلي ضار من تنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب إمكانية تنفيذ رمزبرمجي محلي عشوائي في عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 |
عالية | لا شيء** | 15 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في "برنامج تشغيل Wi-Fi" من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا بالوصول إلى ميزات بمستوى امتياز أعلى، ما يتيح له تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 |
عالية | Nexus 5X وPixel وPixel XL | 15 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0453 | A-33979145 QC-CR#1105085 |
عالية | Nexus 5X، Android One | 30 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 |
عالية | لا شيء* | Google فقط |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
تصعيد الامتيازات الثغرة الأمنية في برنامج تشغيل شاشة اللمس من Synaptics
هناك ثغرة أمنية في برنامج تشغيل شاشة لمس Synaptics تؤدي إلى منح أذونات مميزة وعالية المستوى، ما يمكن أن يتيح لتطبيق ضار محلي تنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | عالية | Android One وNexus 5X وNexus 6P وNexus 9 وPixel وPixel XL | 18 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في ميزة "تصعيد الامتيازات" في برنامج تشغيل IPA من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Qualcomm IPA إلى منح تطبيق ضار على الجهاز إمكانية تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 |
عالية | هواتف Nexus 5X وNexus 6P وAndroid One وPixel وPixel XL | 23 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 |
عالية | هواتف Nexus 5X وNexus 6P وAndroid One وPixel وPixel XL | 25 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في "برنامج تشغيل HTC Sensor Hub" تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل HTC Sensor Hub إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | عالية | Nexus 9 | 25 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0527 | A-33899318* | عالية | Nexus 9 وPixel وPixel XL | 25 كانون الأول (ديسمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في تصعيد الامتيازات في برنامج تشغيل وحدة معالجة الرسومات من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 |
عالية | لا شيء** | 28 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تتعلّق بتجاوز الأذونات في برنامج تشغيل شبكة Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل شبكة Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا تنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 30 تشرين الثاني/نوفمبر 2016 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 |
عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel وPixel XL | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تتعلّق برفع مستوى الأذونات في النظام الفرعي للأمان في النواة
يمكن أن تؤدي ثغرة أمنية في نظام الأمان الفرعي للنواة إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز برمجي في سياق عملية مميّزة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تؤدي إلى تجاوز عام لنظام دفاعي شامل على مستوى النواة أو تكنولوجيا تخفيف استغلال الثغرات.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | عالية | Pixel وPixel XL | 4 كانون الأول (ديسمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في ملف التمكين Qualcomm SPCom driver
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في برنامج تشغيل Qualcomm SPCom إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 |
عالية | لا شيء* | Google فقط |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 |
عالية | لا شيء* | Google فقط |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في النظام الفرعي لشبكة kernel
هناك ثغرة أمنية في نظام الشبكات الفرعي للنواة تتعلّق بكشف المعلومات، ويمكن أن تتيح للمهاجم المحلي بالقرب من الجهاز الوصول إلى معلومات حساسة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 النواة الأساسية |
عالية | Nexus Player | 9 تشرين الثاني (نوفمبر) 2014 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل MediaTek
يمكن أن تؤدي إحدى نقاط الضعف في أمان الإفصاح عن المعلومات في برنامج تشغيل MediaTek إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 |
عالية | لا شيء** | 27 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في bootloader Qualcomm
يمكن أن تساعد إحدى نقاط الضعف في الإفصاح عن المعلومات في أداة تحميل التشغيل Qualcomm في تفعيل تطبيق ضار محلي لتنفيذ رمز عشوائي ضمن سياق أداة تحميل التشغيل. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تؤدي إلى التحايل بشكل عام على تكنولوجيا معالجة الاختراقات أو تكنولوجيا الدفاع المتعدّد في مستوى برنامج الإقلاع.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 |
عالية | Pixel وPixel XL | 21 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في الإفصاح عن المعلومات في Qualcomm power driver
يمكن أن تؤدي إحدى نقاط الضعف في Qualcomm power driver إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى data الحساسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 |
عالية | Nexus 5X وNexus 6P | 19 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات NVIDIA
يمكن أن تؤدي إحدى نقاط الضعف في الكشف عن المعلومات في برنامج تشغيل وحدة معالجة الرسومات NVIDIA إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 |
عالية | Pixel C | 30 تشرين الثاني/نوفمبر 2016 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 |
عالية | Pixel C | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية لرفض الخدمة في النظام الفرعي للتشفير في kernel
يمكن أن تؤدي إحدى الثغرات الأمنية لرفض الخدمة في النظام الفرعي التشفيري للنواة إلى تمكين مهاجم عن بُعد من استخدام حزمة شبكة مصمّمة خصيصًا لتسبب في توقّف الجهاز عن العمل أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمال رفض الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 النواة الأساسية |
عالية | Nexus 5X وNexus 6P وPixel وPixel XL | 12 تشرين الأول (أكتوبر) 2016 |
ثغرة تتعلّق برفع مستوى الامتيازات في برنامج تشغيل كاميرا Qualcomm (خاص بالجهاز)
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل كاميرا Qualcomm لرفع مستوى الأذونات إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً الوصول إلى عملية مميّزة، ويمكن التخفيف من حدتها من خلال إعدادات الأنظمة الأساسية الحالية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 |
متوسط | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 21 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل Wi-Fi من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 |
متوسط | Android One وNexus 5X وPixel وPixel XL | 9 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 |
متوسط | Pixel وPixel XL | 3 تشرين الثاني (نوفمبر) 2016 |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 |
متوسط | Android One وNexus 5X وNexus 6P وPixel وPixel XL | 13 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية تؤدي إلى الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الفيديو من MediaTek
هناك ثغرة أمنية في برنامج تشغيل ترميز الفيديو من MediaTek تؤدي إلى الكشف عن المعلومات، وقد تسمح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 |
متوسط | لا شيء** | 22 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى الكشف عن المعلومات في برنامج تشغيل الفيديو من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 |
متوسط | Pixel وPixel XL | 27 تشرين الأول (أكتوبر) 2016 |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 |
متوسط | Pixel وPixel XL | 28 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 |
متوسط | Pixel وPixel XL | 28 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 |
متوسط | Pixel وPixel XL | 28 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية لكشف المعلومات في برنامج تشغيل كاميرا Qualcomm
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل كاميرا Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 |
متوسط | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 4 تشرين الثاني (نوفمبر) 2016 |
| CVE-2016-8477 | A-32720522 طلب إعادة النظر في فحص الجودة رقم 1090007 [2] |
متوسط | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 7 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل ترميز الصوت من HTC
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل ترميز الصوت في HTC إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | متوسط | Nexus 9 | 11 كانون الأول (ديسمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
تسرّب المعلومات الثغرة الأمنية في برنامج تشغيل شاشة لمس Synaptics
هناك ثغرة أمنية في برنامج تشغيل شاشة اللمس Synaptics تؤدي إلى الكشف عن المعلومات، وقد تسمح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | متوسط | Android One وNexus 5X وNexus 6P وNexus 9 وPixel وPixel XL | 12 كانون الأول (ديسمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل أجهزة USB في kernel
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل أجهزة USB في kernel إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | متوسط | Pixel C | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية لكشف المعلومات في برنامج تشغيل كاميرا Qualcomm
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل كاميرا Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها منخفضة الخطورة لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 |
ضعيفة | Nexus 5X وNexus 6P وAndroid One | 10 تشرين الثاني (نوفمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدَّثًا لحلّ هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى تصحيح الأمان على الجهاز، يُرجى الاطّلاع على التعليمات الواردة في جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus.
- تعالج مستويات تصحيحات الأمان بتاريخ 01/03/2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 01/03/2017.
- تعالج مستويات تصحيحات الأمان بتاريخ 05-03-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05-03-2017 وجميع مستويات التصحيحات السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التعديلات ضبط مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. لماذا تتضمّن هذه النشرة الإخبارية مستويَين لرمز تصحيح الأمان؟
تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان ليتمكّن شركاء Android من تعديل مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بحلّ جميع المشاكل المذكورة في هذه النشرة واستخدام أحدث مستوى من تصحيحات الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 آذار (مارس) 2017 كل الصعوبات المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لجميع الصعوبات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 آذار (مارس) 2017 أو إصدارًا أحدث جميع الرموز المتاحة لتصحيح الثغرات في نشرات الأمان (السابقة) هذه.
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google المتأثّرة بكل مشكلة؟
في قسمَي تفاصيل ثغرات الأمان بتاريخ 01/03/2017 و 05/03/2017 ، يتضمّن كل جدول عمود أجهزة Google التي تم تعديلها الذي يشمل نطاق أجهزة Google المتأثرة التي تم تعديلها لمعالجة كل مشكلة. يتضمّن هذا العمود بعض الخيارات:
- جميع أجهزة Google: إذا كانت هناك مشكلة تؤثر في كل من أجهزة Pixel و"جميع الأجهزة"، سيظهر "كل الأجهزة" في عمود أجهزة Google التي تم تحديثها. يشمل خيار "الكل" الأجهزة التالية المتوافقة: Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
- بعض أجهزة Google: إذا لم تؤثّر المشكلة في جميع أجهزة Google ، يتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google التي تم تعديلها.
- لا تتوفّر أجهزة Google: إذا لم تتأثّر أي أجهزة Google تعمل بنظام التشغيل Android 7.0 بهذه المشكلة، سيظهر "لا يتوفّر" في عمود أجهزة Google التي تم تحديثها.
4. ما هي العناصر التي ترتبط بها الإدخالات في عمود "المراجع"؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم ربط هذه البادئات على النحو التالي:
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
إصدارات
- 6 آذار (مارس) 2017: تم نشر النشرة.
- 7 آذار (مارس) 2017: تم تعديل النشرة لتضمين روابط AOSP.