نشرة أمان Android — أبريل 2017

تم النشر في 03 أبريل 2017 | تم التحديث في 17 أغسطس 2017

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 أبريل 2017 أو الإصدارات الأحدث جميع هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 06 مارس 2017 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات في مستودع Android Open Source Project (AOSP) وتم ربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/04/2017 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بتاريخ 01-04-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 05/04/2017 : إكمال سلسلة مستوى التصحيح الأمني. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بـ 01-04-2017 و05-04-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
  • ستتلقى أجهزة Google المدعومة تحديثًا واحدًا عبر الهواء مع مستوى تصحيح الأمان بتاريخ 05 أبريل 2017.

عمليات التخفيف من خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • أرافيند ماشيري (donfos) من فريق Shellphish Grill: CVE-2016-5349
  • Daxing Guo ( @freener0 ) من Xuanwu Lab، Tencent: CVE-2017-0585، CVE-2017-0553
  • ديريك ( @derrekr6 ) وسكوت باور: CVE-2017-0576
  • Gal Beniamini من Project Zero: CVE-2017-0571، CVE-2017-0570، CVE-2017-0572، CVE-2017-0569، CVE-2017-0561
  • Gengjia Chen ( @chengjia4574 ) و pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2017-6426، CVE-2017-0581، CVE-2017-0329، CVE-2017-0332، CVE-2017-0566، CVE-2017-0573
  • Guang Gong (龚广) ( @oldfresher ) من Alpha Team، Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
  • Hao Chen وGuang Gong من Alpha Team، Qihoo 360 Technology Co. Ltd.: CVE-2017-6424، CVE-2017-0584، CVE-2017-0454، CVE-2017-0574، CVE-2017-0575، CVE-2017 -0567
  • إيان فوستر ( @lanrat ): CVE-2017-0554
  • جاك تانغ من شركة Trend Micro Inc.: CVE-2017-0579
  • Jianjun Dai ( @Jioun_dai ) من Qihoo 360 Skyeye Labs : CVE-2017-0559، CVE-2017-0541
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf من IceSword Lab، Qihoo 360: CVE-2017-6425، CVE-2016-5346
  • Lubo Zhang ( zlbzlb815@163.com ) من فريق C0RE وYonggang Guo ( @guoygang ) من IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
  • مارك ساليزين من Google: CVE-2017-0558
  • مايك أندرسون ( @manderbot ) وناثان كراندال ( @natecray ) من فريق أمان منتجات Tesla: CVE-2017-0327، CVE-2017-0328
  • Peng Xiao وChengming Yang وNing You وChao Yang وYang Song من Alibaba Mobile Security Group: CVE-2017-0565
  • Pengfei Ding (丁鹏飞)، Chenfu Bao (包沉浮)، وLenx Wei (韦韬) من Baidu X-Lab (百度安全实验室): CVE-2016-10236
  • تشيدان هي (何淇丹 - @flanker_hqd ) من KeenLab، Tencent: CVE-2017-0544، CVE-2017-0325
  • روي هاي ( @roeehay ) من Aleph Research، HCL Technologies: CVE-2017-0582، CVE-2017-0563
  • سكوت باور ( @ScottyBauer1 ): CVE-2017-0562، CVE-2017-0339
  • Seven Shen ( @lingtongshen ) من فريق أبحاث TrendMicro Mobile Threat Research: CVE-2016-10231، CVE-2017-0578، CVE-2017-0586
  • تيم بيكر: CVE-2017-0546
  • أوما سانكار برادان ( @umasankar_iiitd ): CVE-2017-0560
  • VEO ( @VYSEa ) لفريق الاستجابة للتهديدات المتنقلة ، Trend Micro : CVE-2017-0555، CVE-2017-0538، CVE-2017-0539، CVE-2017-0557، CVE-2017-0556
  • Weichao Sun ( @sunblate ) من شركة Alibaba Inc: CVE-2017-0549
  • Wenlin Yang ( @wenlin_yang )، وGuang Gong ( @oldfresher )، وHao Chen من Alpha Team، Qihoo 360 Technology Co. Ltd.: CVE-2017-0580، CVE-2017-0577
  • Zinuo Han من مركز الاستجابة الأمنية Chengdu التابع لشركة Qihoo 360 Technology Co. Ltd.: CVE-2017-0548
  • زوبين ميثرا من جوجل: CVE-2017-0462

01-04-2017 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-04-2017. يوجد وصف للمشكلة، ومبرر خطورتها، وجدول مع CVE، والمراجع ذات الصلة، وخطورتها، أجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملفات الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0538 أ-33641588 شديد الأهمية الجميع 6.0، 6.0.1، 7.0، 7.1.1 13 ديسمبر 2016
CVE-2017-0539 أ-33864300 شديد الأهمية الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 23 ديسمبر 2016
CVE-2017-0541 أ-34031018 شديد الأهمية الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 1 يناير 2017
CVE-2017-0542 أ-33934721 شديد الأهمية الجميع 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية
CVE-2017-0543 أ-34097866 شديد الأهمية الجميع 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية

رفع ثغرة الامتياز في CameraBase

قد تؤدي زيادة ثغرة الامتياز في CameraBase إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية. تم تصنيف هذه المشكلة على أنها عالية لأنها عبارة عن تنفيذ تعليمات برمجية عشوائية محلية في عملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0544 أ-31992879 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 6 أكتوبر 2016

رفع ثغرة الامتياز في Audioserver

قد تؤدي زيادة ثغرة الامتيازات في Audioserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0545 أ-32591350 عالي الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 31 أكتوبر 2016

رفع ثغرة الامتياز في SurfaceFlinger

قد تؤدي زيادة ثغرة الامتيازات في SurfaceFlinger إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0546 أ-32628763 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 2 نوفمبر 2016

ثغرة الكشف عن المعلومات في Mediaserver

يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا عامًا لعمليات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0547 أ-33861560 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 22 ديسمبر 2016

الحرمان من ثغرة الخدمة في libskia

قد تؤدي الثغرة الأمنية لرفض الخدمة عن بعد في libskia إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لاحتمال رفض الخدمة عن بُعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0548 أ-33251605 عالي الجميع 7.0، 7.1.1 29 نوفمبر 2016

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي الثغرة الأمنية لرفض الخدمة عن بعد في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لاحتمال رفض الخدمة عن بُعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0549 أ-33818508 عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1 20 ديسمبر 2016
CVE-2017-0550 أ-33933140 عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية
CVE-2017-0551 ا-34097231 [ 2 ] عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية
CVE-2017-0552 أ-34097915 عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية

رفع ثغرة الامتياز في libnl

قد تؤدي زيادة ثغرة الامتياز في libnl إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق خدمة Wi-Fi. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة ويتم تخفيفها من خلال تكوينات النظام الأساسي الحالية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0553 أ-32342065 معتدل الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 21 أكتوبر 2016

ارتفاع ثغرة الامتياز في الاتصالات الهاتفية

قد تؤدي زيادة ثغرة الامتيازات في مكون الاتصال الهاتفي إلى تمكين تطبيق ضار محلي من الوصول إلى إمكانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى إمكانات عالية، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق تابع لجهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0554 ا-33815946 [ 2 ] معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 20 ديسمبر 2016

ثغرة الكشف عن المعلومات في Mediaserver

يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0555 أ-33551775 معتدل الجميع 6.0، 6.0.1، 7.0، 7.1.1 12 ديسمبر 2016
CVE-2017-0556 أ-34093952 معتدل الجميع 6.0، 6.0.1، 7.0، 7.1.1 4 يناير 2017
CVE-2017-0557 أ-34093073 معتدل الجميع 6.0، 6.0.1، 7.0، 7.1.1 4 يناير 2017
CVE-2017-0558 أ-34056274 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية

ثغرة الكشف عن المعلومات في libskia

يمكن أن تؤدي ثغرة الكشف عن المعلومات في libskia إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0559 أ-33897722 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 25 ديسمبر 2016

ثغرة أمنية في الكشف عن المعلومات في إعادة ضبط المصنع

قد تؤدي ثغرة الكشف عن المعلومات في عملية إعادة ضبط المصنع إلى تمكين مهاجم ضار محلي من الوصول إلى البيانات من المالك السابق. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لإمكانية تجاوز حماية الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0560 أ-30681079 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية

05-04-2017 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 05-04-2017. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في البرامج الثابتة من Broadcom Wi-Fi

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في البرامج الثابتة لـ Broadcom Wi-Fi إلى تمكين المهاجم عن بُعد من تنفيذ تعليمات برمجية عشوائية في سياق Wi-Fi SoC. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق Wi-Fi SoC.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0561 أ-34199105*
ب-رب #110814
شديد الأهمية نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 9 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في برنامج تشغيل محرك التشفير Qualcomm

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل محرك Qualcomm crypto إلى تمكين مهاجم عن بُعد من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في سياق النواة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10230 أ-34389927
مراقبة الجودة-CR#1091408
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 10 يناير 2017

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في النظام الفرعي لشبكات kernel

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في النظام الفرعي لشبكة kernel إلى تمكين المهاجم عن بعد من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في سياق النواة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10229 أ-32813456
نواة المنبع
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، بكسل C، أندرويد وان، نيكزس بلاير جوجل الداخلية

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس MediaTek

يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0562 أ-30202425*
م-ALPS02898189
شديد الأهمية* لا أحد** 16 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس HTC

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس HTC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0563 أ-32089409*
شديد الأهمية نيكزس 9 9 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في نظام kernel ION الفرعي

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0564 أ-34276203*
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، بكسل C، أندرويد وان، نيكزس بلاير 12 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرات أمنية في مكونات كوالكوم

تؤثر هذه الثغرات الأمنية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرة Qualcomm AMSS الأمنية لشهر أكتوبر 2016.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10237 أ-31628601**
مراقبة الجودة-CR#1046751
شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2016-10238 أ-35358527**
مراقبة الجودة-CR#1042558
شديد الأهمية لا أحد*** كوالكوم الداخلية
CVE-2016-10239 أ-31624618**
مراقبة الجودة-CR#1032929
عالي بكسل، بكسل XL كوالكوم الداخلية

* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

*** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في الإصدار 8

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في الإصدار الثامن إلى تمكين المهاجمين عن بُعد من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في مواقع الويب.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-5129 أ-29178923 عالي لا أحد* 6.0، 6.0.1، 7.0 20 يوليو 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Freetype

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Freetype إلى تمكين تطبيق ضار محلي من تحميل خط مصمم خصيصًا للتسبب في تلف الذاكرة في عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في تطبيق يستخدم هذه المكتبة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-10244 أ-31470908 عالي لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 13 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في النظام الفرعي للصوت kernel

قد تؤدي زيادة ثغرة الامتياز في النظام الفرعي للصوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-4656 أ-34464977
نواة المنبع
عالي نيكزس 6، نيكزس بلاير 26 يونيو 2014

رفع ثغرة الامتياز في برنامج تشغيل التشفير NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل التشفير NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0339 أ-27930566*
N-CVE-2017-0339
عالي نيكزس 9 29 مارس 2016
CVE-2017-0332 أ-33812508*
N-CVE-2017-0332
عالي نيكزس 9 21 ديسمبر 2016
CVE-2017-0327 أ-33893669*
N-CVE-2017-0327
عالي نيكزس 9 24 ديسمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج التشغيل الحراري MediaTek

يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج التشغيل الحراري MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0565 أ-28175904*
م-ALPS02696516
عالي لا أحد** 11 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل الكاميرا MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0566 أ-28470975*
م-ALPS02696367
عالي لا أحد** 29 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0567 أ-32125310*
ب-رب #112575
عالي نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 12 أكتوبر 2016
CVE-2017-0568 أ-34197514*
ب-رب #112600
عالي نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 9 يناير 2017
CVE-2017-0569 أ-34198729*
ب-رب #110666
عالي نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 9 يناير 2017
CVE-2017-0570 أ-34199963*
ب-رب #110688
عالي نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 9 يناير 2017
CVE-2017-0571 أ-34203305*
ب-رب #111541
عالي نيكزس 6، نيكزس 6 بي، بيكسل سي، نيكزس بلاير 9 يناير 2017
CVE-2017-0572 أ-34198931*
ب-رب #112597
عالي لا أحد** 9 يناير 2017
CVE-2017-0573 أ-34469904*
ب-رب #91539
عالي نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 18 يناير 2017
CVE-2017-0574 أ-34624457*
ب-رب #113189
عالي نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C 22 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0575 أ-32658595*
مراقبة الجودة-CR#1103099
عالي نيكزس 5X، بكسل، بكسل XL 3 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل NVIDIA I2C HID

يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج تشغيل NVIDIA I2C HID إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0325 أ-33040280*
N-CVE-2017-0325
عالي نيكزس 9، بكسل سي 20 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0454 أ-33353700
مراقبة الجودة-CR#1104067
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 5 ديسمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل محرك التشفير Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل محرك Qualcomm crypto إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0576 أ-33544431
مراقبة الجودة-CR#1103089
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 9 ديسمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس HTC

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس HTC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0577 أ-33842951*
عالي لا أحد** 21 ديسمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل الصوت DTS

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت DTS إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0578 أ-33964406*
عالي لا أحد** 28 ديسمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10231 أ-33966912
مراقبة الجودة-CR#1096799
عالي بكسل، بكسل XL 29 ديسمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0579 أ-34125463*
مراقبة الجودة-CR#1115406
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 5 يناير 2017
CVE-2016-10232 أ-34386696
مراقبة الجودة-CR#1024872 [2]
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 10 يناير 2017
CVE-2016-10233 أ-34389926
مراقبة الجودة-CR#897452
عالي لا أحد** 10 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل معالج إدارة الطاقة والتمهيد NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل معالج إدارة التشغيل والطاقة NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق معالج إدارة التمهيد والطاقة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0329 أ-34115304*
N-CVE-2017-0329
عالي بكسل سي 5 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Synaptics Touchscreen إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0580 أ-34325986*
عالي لا أحد** 16 يناير 2017
CVE-2017-0581 أ-34614485*
عالي لا أحد** 22 يناير 2017

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Seemp

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Seemp إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0462 أ-33353601
مراقبة الجودة-CR#1102288
عالي بكسل، بكسل XL جوجل الداخلية

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Kyro L2

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Kyro L2 إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-6423 أ-32831370
مراقبة الجودة-CR#1103158
عالي بكسل، بكسل XL جوجل الداخلية

رفع ثغرة الامتياز في نظام ملفات kernel

قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-9922 أ-32761463
نواة المنبع
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، بكسل، بكسل XL، بكسل C، أندرويد وان، نيكزس بلاير 24 أكتوبر 2014

ثغرة أمنية في الكشف عن المعلومات في النظام الفرعي لذاكرة kernel

قد تؤدي ثغرة الكشف عن المعلومات في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-0206 أ-34465735
نواة المنبع
عالي نيكزس 6، نيكزس بلاير 6 مايو 2014

ثغرة أمنية في الكشف عن المعلومات في النظام الفرعي لشبكات kernel

قد تؤدي ثغرة الكشف عن المعلومات في النظام الفرعي لشبكة kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-3145 أ-34469585
نواة المنبع [2]
عالي نيكزس 6، نيكزس بلاير 9 مايو 2014

ثغرة أمنية في الكشف عن المعلومات في Qualcomm TrustZone

يمكن أن تؤدي ثغرة الكشف عن المعلومات في Qualcomm TrustZone إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-5349 أ-29083830
مراقبة الجودة-CR#1021945 [2] [3] [4]
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 1 يونيو 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm IPA

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل Qualcomm IPA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10234 أ-34390017
مراقبة الجودة-CR#1069060 [2]
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 10 يناير 2017

الحرمان من ثغرة الخدمة في النظام الفرعي لشبكات kernel

قد تؤدي ثغرة رفض الخدمة في النظام الفرعي لشبكة kernel إلى تمكين المهاجم البعيد من استخدام حزمة شبكة تم إعدادها خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-2706 أ-34160553
نواة المنبع
عالي مشغل نيكزس 1 أبريل 2014

رفض ثغرة الخدمة في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي ثغرة رفض الخدمة في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين مهاجم قريب من التسبب في رفض الخدمة في نظام Wi-Fi الفرعي. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10235 أ-34390620
مراقبة الجودة-CR#1046409
عالي لا أحد** 10 يناير 2017

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في نظام ملفات kernel

قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة ويتم تخفيفها من خلال تكوينات النظام الأساسي الحالية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-7097 أ-32458736
نواة المنبع
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، بكسل، بكسل XL، بكسل C، نيكزس بلاير 28 أغسطس 2016

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة وبسبب تفاصيل الثغرات الأمنية المحددة التي تحد من تأثير المشكلة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-6424 أ-32086742
مراقبة الجودة-CR#1102648
معتدل نيكسوس 5X، بيكسل، بيكسل XL، أندرويد وان 9 أكتوبر 2016

رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة ويتم تخفيفها من خلال تكوينات النظام الأساسي الحالية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8465 أ-32474971*
ب-رب #106053
معتدل نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 27 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في أمر Fastboot الخاص بشركة HTC OEM

قد تؤدي زيادة ثغرة الامتياز في أمر HTC OEM fastboot إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق مركز الاستشعار. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً استغلال ثغرات أمنية منفصلة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0582 أ-33178836*
معتدل نيكزس 9 28 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الوصول Qualcomm CP

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الوصول Qualcomm CP إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة وبسبب تفاصيل الثغرات الأمنية المحددة التي تحد من تأثير المشكلة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0583 أ-32068683
مراقبة الجودة-CR#1103788
معتدل نيكزس 5X، نيكزس 6P، بكسل، بكسل XL، أندرويد وان جوجل الداخلية

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل وسائط kernel

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل وسائط kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-1739 أ-34460642
نواة المنبع
معتدل نيكزس 6، نيكزس 9، نيكزس بلاير 15 يونيو 2014

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0584 أ-32074353*
مراقبة الجودة-CR#1104731
معتدل نيكزس 5X، بكسل، بكسل XL 9 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0585 أ-32475556*
ب-رب #112953
معتدل نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير 27 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Avtimer

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm Avtimer إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-5346 أ-32551280
مراقبة الجودة-CR#1097878
معتدل بكسل، بكسل XL 29 أكتوبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-6425 أ-32577085
مراقبة الجودة-CR#1103689
معتدل بكسل، بكسل XL 29 أكتوبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm USB

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm USB إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10236 أ-33280689
مراقبة الجودة-CR#1102418
معتدل بكسل، بكسل XL 30 نوفمبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0586 أ-33649808
مراقبة الجودة-CR#1097569
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL، أندرويد وان 13 ديسمبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm SPMI

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل Qualcomm SPMI إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-6426 أ-33644474
مراقبة الجودة-CR#1106842
معتدل بكسل، بكسل XL 14 ديسمبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل التشفير NVIDIA

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل التشفير NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0328 أ-33898322*
N-CVE-2017-0328
معتدل لا أحد** 24 ديسمبر 2016
CVE-2017-0330 أ-33899858*
N-CVE-2017-0330
معتدل لا أحد** 24 ديسمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

ثغرات أمنية في مكونات كوالكوم

تم إصدار هذه الثغرات الأمنية التي تؤثر على مكونات Qualcomm كجزء من نشرات Qualcomm AMSS الأمنية بين عامي 2014 و2016. وقد تم تضمينها في نشرة أمان Android هذه لربط إصلاحاتها بمستوى تصحيح أمان Android.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-9931 أ-35445101** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2014-9932 أ-35434683** شديد الأهمية بكسل، بكسل XL كوالكوم الداخلية
CVE-2014-9933 أ-35442512** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2014-9934 أ-35439275** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2014-9935 أ-35444951** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2014-9936 أ-35442420** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2014-9937 أ-35445102** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2015-8995 أ-35445002** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2015-8996 أ-35444658** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2015-8997 أ-35432947** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2015-8998 أ-35441175** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2015-8999 أ-35445401** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2015-9000 أ-35441076** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2015-9001 أ-35445400** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2015-9002 أ-35442421** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2015-9003 أ-35440626** شديد الأهمية لا أحد** كوالكوم الداخلية
CVE-2016-10242 أ-35434643** شديد الأهمية لا أحد** كوالكوم الداخلية

* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.

** التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

*** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .

  • تعالج مستويات تصحيح الأمان 01-04-2017 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 01-04-2017.
  • تتناول مستويات تصحيح الأمان 05-04-2017 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 05-04-2017 وجميع مستويات التصحيح السابقة.

يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]:[2017-04-01]
  • [ro.build.version.security_patch]:[2017-04-05]

2. لماذا تحتوي هذه النشرة على مستويين من التصحيح الأمني؟

تحتوي هذه النشرة على مستويين من التصحيح الأمني ​​بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.

  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 01 أبريل 2017 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 05 أبريل 2017 أو الأحدث جميع التصحيحات القابلة للتطبيق في هذه النشرة الأمنية (والسابقة).

يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.

3. كيف يمكنني تحديد أجهزة Google المتأثرة بكل مشكلة؟

في أقسام تفاصيل الثغرة الأمنية 01-04-2017 و05-04-2017 ، يحتوي كل جدول على عمود أجهزة Google المحدثة الذي يغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على الكل وأجهزة Pixel، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . يشمل "الكل" الأجهزة المدعومة التالية: Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
  • بعض أجهزة Google : إذا لم تؤثر المشكلة على جميع أجهزة Google، فسيتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
  • لا توجد أجهزة Google : إذا لم تتأثر أي أجهزة Google تعمل بنظام التشغيل Android 7.0 بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Google المحدثة .

4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

التنقيحات

  • 03 أبريل 2017: نشر النشرة.
  • 05 أبريل 2017: تمت مراجعة النشرة لتشمل روابط AOSP.
  • 21 أبريل 2017: تم تصحيح إسناد CVE-2016-10231 وCVE-2017-0586.
  • 27 أبريل 2017: تمت إزالة CVE-2017-0540 من النشرة.
  • 17 أغسطس 2017: نشرة منقحة لتحديث الأرقام المرجعية.