بولتن امنیتی اندروید—مه 2017

منتشر شده در 10 اردیبهشت 1396 | به روز شده در 03 اکتبر 2017

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Nexus از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 می 2017 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه به‌روزرسانی Pixel و Nexus مراجعه کنید.

در تاریخ 03 آوریل 2017 یا قبل از آن، شرکا از مسائل شرح داده شده در بولتن مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت های پلتفرم امنیتی اندروید و محافظت های خدماتی مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

  • این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌ها را که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/05/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/05/2017 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
    • 05/05/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2017-05-01 و 2017-05-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
  • دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی OTA با سطح وصله امنیتی 5 می 2017 دریافت خواهند کرد.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه‌شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به‌طور فعال نظارت بر سوء استفاده می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • ADlab of Venustech: CVE-2017-0630
  • دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-10287
  • Ecular Xu (徐健) از Trend Micro: CVE-2017-0599، CVE-2017-0635
  • En He ( @heeeeen4x ) و بو لیو از MS509Team : CVE-2017-0601
  • ایتان یونکر از پروژه بازیابی پیروزی تیم : CVE-2017-0493
  • Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd: CVE-2016-10285، CVE-2016-10288، CVE-2016-10290، CVE-2017-06126، CVE-2017-06126، CVE-06124، CVE-2016-10285 -2017-0617، CVE-2016-10294، CVE-2016-10295، CVE-2016-10296
  • godzheng (郑文选@VirtualSeekers ) از Tencent PC Manager: CVE-2017-0602
  • Güliz Seray Tuncay از دانشگاه ایلینوی در Urbana-Champaign : CVE-2017-0593
  • هائو چن و گوانگ گونگ از تیم آلفا، Qihoo 360 Technology Co. Ltd: CVE-2016-10283
  • جوهو نی، یانگ چنگ، نان لی و کیوو هوانگ از شرکت شیائومی: CVE-2016-10276
  • Michał Bednarski : CVE-2017-0598
  • ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا: CVE-2017-0331، CVE-2017-0606
  • Niky1235 ( @jiych_guru ): CVE-2017-0603
  • آهنگ پنگ شیائو، چنگ مینگ یانگ، نینگ یو، چائو یانگ و یانگ گروه امنیت موبایل علی بابا: CVE-2016-10281، CVE-2016-10280
  • Roee Hay ( @roeehay ) از Aleph Research : CVE-2016-10277
  • اسکات بائر ( @ScottyBauer1 ): CVE-2016-10274
  • Tong Lin ، Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2016-10291
  • واسیلی واسیلیف: CVE-2017-0589
  • VEO ( @VYSEa ) تیم پاسخگویی به تهدیدات موبایل ، Trend Micro : CVE-2017-0590، CVE-2017-0587، CVE-2017-0600
  • Xiling Gong از بخش پلت فرم امنیتی Tencent: CVE-2017-0597
  • Xingyuan Lin of 360 Marvel Team: CVE-2017-0627
  • یونگ وانگ (王勇) ( @ThomasKing2014 ) از Alibaba Inc: CVE-2017-0588
  • Yonggang Guo ( @guoygang ) از IceSword Lab، Qihoo 360 Technology Co. Ltd: CVE-2016-10289، CVE-2017-0465
  • یو پان تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
  • Yu Pan و Peide Zhang از تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625

01/05/2017 سطح وصله امنیتی-جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-05-2017 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در Mediaserver

یک آسیب‌پذیری اجرای کد از راه دور در Mediaserver می‌تواند مهاجم را با استفاده از یک فایل خاص ساخته شده قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده‌ها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0587 الف-35219737 بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 4 ژانویه 2017
CVE-2017-0588 الف-34618607 بحرانی همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 21 ژانویه 2017
CVE-2017-0589 الف-34897036 بحرانی همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 1 فوریه 2017
CVE-2017-0590 A-35039946 بحرانی همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 6 فوریه 2017
CVE-2017-0591 الف-34097672 بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 گوگل داخلی
CVE-2017-0592 الف-34970788 بحرانی همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 گوگل داخلی

افزایش آسیب پذیری امتیاز در Framework API

افزایش آسیب پذیری امتیاز در Framework API می تواند یک برنامه مخرب محلی را قادر سازد تا به مجوزهای سفارشی دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا یک دور زدن کلی برای محافظت از سیستم عامل است که داده های برنامه را از سایر برنامه ها جدا می کند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0593 الف-34114230 بالا همه 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 5 ژانویه 2017

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0594 الف-34617444 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 22 ژانویه 2017
CVE-2017-0595 الف-34705519 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 24 ژانویه 2017
CVE-2017-0596 الف-34749392 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 24 ژانویه 2017

افزایش آسیب پذیری امتیاز در Audioserver

افزایش آسیب پذیری امتیاز در Audioserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0597 الف-34749571 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 25 ژانویه 2017

آسیب پذیری افشای اطلاعات در Framework API

یک آسیب‌پذیری افشای اطلاعات در Framework API می‌تواند یک برنامه مخرب محلی را قادر به دور زدن حفاظت‌های سیستم عاملی کند که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده هایی استفاده کرد که برنامه به آنها دسترسی ندارد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0598 A-34128677 [ 2 ] بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 6 ژانویه 2017

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس از راه دور در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار سرویس از راه دور، با شدت بالا رتبه بندی می شود.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0599 الف-34672748 بالا همه 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 23 ژانویه 2017
CVE-2017-0600 الف-35269635 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 10 فوریه 2017

افزایش آسیب پذیری امتیاز در بلوتوث

آسیب‌پذیری Elevation of Privilege در بلوتوث می‌تواند به طور بالقوه یک برنامه مخرب محلی را قادر سازد تا فایل‌های مضر اشتراک‌گذاری شده از طریق بلوتوث را بدون اجازه کاربر بپذیرد. به دلیل دور زدن محلی الزامات تعامل کاربر، این مشکل به عنوان متوسط ​​رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0601 الف-35258579 در حد متوسط همه 7.0، 7.1.1، 7.1.2 9 فوریه 2017

آسیب‌پذیری افشای اطلاعات در رمزگذاری مبتنی بر فایل

یک آسیب‌پذیری افشای اطلاعات در رمزگذاری مبتنی بر فایل می‌تواند یک مهاجم مخرب محلی را قادر به دور زدن حفاظت‌های سیستم عامل برای صفحه قفل کند. این موضوع به دلیل امکان دور زدن صفحه قفل به عنوان متوسط ​​رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0493 A-32793550 [ 2 ] [ 3 ] در حد متوسط همه 7.0، 7.1.1 9 نوامبر 2016

آسیب پذیری افشای اطلاعات در بلوتوث

یک آسیب‌پذیری افشای اطلاعات در بلوتوث می‌تواند به یک برنامه مخرب محلی اجازه دهد تا از حفاظت‌های سیستم عاملی که داده‌های برنامه را از سایر برنامه‌ها جدا می‌کند دور بزند. این موضوع به دلیل جزئیات خاص آسیب‌پذیری، به عنوان متوسط ​​رتبه‌بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0602 الف-34946955 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 5 دسامبر 2016

آسیب پذیری افشای اطلاعات در OpenSSL و BoringSSL

یک آسیب‌پذیری افشای اطلاعات در OpenSSL و BoringSSL می‌تواند مهاجم راه دور را قادر به دسترسی به اطلاعات حساس کند. این موضوع به دلیل جزئیات خاص آسیب‌پذیری، به عنوان متوسط ​​رتبه‌بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-7056 الف-33752052 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 19 دسامبر 2016

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این مشکل به عنوان متوسط ​​رتبه بندی شده است زیرا به پیکربندی دستگاه غیر معمول نیاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0603 الف-35763994 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 23 فوریه 2017

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس از راه دور در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. به دلیل جزئیات خاص آسیب پذیری، این مشکل به عنوان Low رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0635 الف-35467107 کم همه 7.0، 7.1.1، 7.1.2 16 فوریه 2017

سطح وصله امنیتی 05/05/2017-جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۵-۰۵-۲۰۱۷ اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در GIFLIB

یک آسیب‌پذیری اجرای کد از راه دور در GIFLIB می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده‌ها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2015-7555 الف-34697653 بحرانی همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 13 آوریل 2016

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی مدیاتک

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10274 A-30202412*
M-ALPS02897901
بحرانی هیچ یک** 16 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در بوت لودر کوالکام

افزایش آسیب پذیری امتیاز در بوت لودر کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10275 الف-34514954
QC-CR#1009111
بحرانی Nexus 5X، Nexus 6، Pixel، Pixel XL، Android One 13 سپتامبر 2016
CVE-2016-10276 الف-32952839
QC-CR#1094105
بحرانی Nexus 5X، Nexus 6P، Pixel، Pixel XL 16 نوامبر 2016

افزایش آسیب پذیری امتیاز در زیرسیستم صدای کرنل

افزایش آسیب پذیری امتیاز در زیرسیستم صدای هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-9794 الف-34068036
هسته بالادست
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Android One، Nexus Player 3 دسامبر 2016

افزایش آسیب پذیری امتیاز در بوت لودر موتورولا

افزایش آسیب پذیری امتیاز در بوت لودر موتورولا می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن بوت لودر اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10277 A-33840490*
بحرانی Nexus 6 21 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA

افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0331 A-34113000*
N-CVE-2017-0331
بحرانی Nexus 9 4 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور برق کوالکام

افزایش آسیب پذیری امتیاز در درایور قدرت هسته Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0604 A-35392981
QC-CR#826589
بحرانی هیچ یک* 15 فوریه 2017

* دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری در اجزای کوالکام

این آسیب‌پذیری‌ها بر اجزای Qualcomm تأثیر می‌گذارند و در بولتن‌های امنیتی Qualcomm AMSS در آگوست، سپتامبر، اکتبر و دسامبر 2016 با جزئیات بیشتر توضیح داده شده‌اند.

CVE منابع شدت* دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10240 A-32578446**
QC-CR#955710
بحرانی Nexus 6P کوالکام داخلی
CVE-2016-10241 A-35436149**
QC-CR#1068577
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL کوالکام داخلی
CVE-2016-10278 A-31624008**
QC-CR#1043004
بالا پیکسل، پیکسل XL کوالکام داخلی
CVE-2016-10279 A-31624421**
QC-CR#1031821
بالا پیکسل، پیکسل XL کوالکام داخلی

* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری اجرای کد از راه دور در libxml2

یک آسیب‌پذیری اجرای کد از راه دور در libxml2 می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده ویژه برای اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز استفاده کند. این موضوع به دلیل امکان اجرای کد از راه دور در برنامه ای که از این کتابخانه استفاده می کند، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-5131 A-32956747* بالا هیچ یک** 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 23 جولای 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور حرارتی مدیاتک

افزایش آسیب پذیری امتیاز در درایور حرارتی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10280 A-28175767*
M-ALPS02696445
بالا هیچ یک** 11 آوریل 2016
CVE-2016-10281 A-28175647*
M-ALPS02696475
بالا هیچ یک** 11 آوریل 2016
CVE-2016-10282 A-33939045*
M-ALPS03149189
بالا هیچ یک** 27 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10283 الف-32094986
QC-CR#2002052
بالا Nexus 5X، Pixel، Pixel XL، Android One 11 اکتبر 2016

افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام

افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10284 A-32402303*
QC-CR#2000664
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 24 اکتبر 2016
CVE-2016-10285 الف-33752702
QC-CR#1104899
بالا پیکسل، پیکسل XL 19 دسامبر 2016
CVE-2016-10286 A-35400904
QC-CR#1090237
بالا پیکسل، پیکسل XL 15 فوریه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در زیر سیستم عملکرد هسته

افزایش آسیب پذیری امتیاز در زیرسیستم عملکرد هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2015-9004 الف-34515362
هسته بالادست
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Android One، Nexus Player 23 نوامبر 2016

افزایش آسیب پذیری امتیاز در درایور صدای کوالکام

افزایش آسیب پذیری امتیاز در درایور صدای Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10287 الف-33784446
QC-CR#1112751
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One 20 دسامبر 2016
CVE-2017-0606 الف-34088848
QC-CR#1116015
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One 3 ژانویه 2017
CVE-2016-5860 الف-34623424
QC-CR#1100682
بالا پیکسل، پیکسل XL 22 ژانویه 2017
CVE-2016-5867 A-35400602
QC-CR#1095947
بالا هیچ یک* 15 فوریه 2017
CVE-2017-0607 الف-35400551
QC-CR#1085928
بالا پیکسل، پیکسل XL 15 فوریه 2017
CVE-2017-0608 الف-35400458
QC-CR#1098363
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2017-0609 A-35399801
QC-CR#1090482
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2016-5859 الف-35399758
QC-CR#1096672
بالا هیچ یک* 15 فوریه 2017
CVE-2017-0610 الف-35399404
QC-CR#1094852
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2017-0611 الف-35393841
QC-CR#1084210
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2016-5853 الف-35392629
QC-CR#1102987
بالا هیچ یک* 15 فوریه 2017

* دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور LED Qualcomm

افزایش آسیب پذیری امتیاز در درایور LED Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10288 الف-33863909
QC-CR#1109763
بالا پیکسل، پیکسل XL 23 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور رمزارز کوالکام

افزایش آسیب پذیری امتیاز در درایور رمزارز کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10289 A-33899710
QC-CR#1116295
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 24 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور حافظه مشترک کوالکام

افزایش آسیب پذیری امتیاز در درایور حافظه مشترک کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10290 الف-33898330
QC-CR#1109782
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL 24 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور Qualcomm Slimbus

افزایش آسیب پذیری امتیاز در درایور Qualcomm Slimbus می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10291 الف-34030871
QC-CR#986837
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One 31 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC

افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0465 الف-34112914
QC-CR#1110747
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One 5 ژانویه 2017

افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Execution Environment Communicator

افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Execution Environment Communicator می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0612 الف-34389303
QC-CR#1061845
بالا پیکسل، پیکسل XL 10 ژانویه 2017
CVE-2017-0613 الف-35400457
QC-CR#1086140
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017
CVE-2017-0614 الف-35399405
QC-CR#1080290
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور قدرت MediaTek

افزایش آسیب پذیری امتیاز در درایور قدرت MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0615 A-34259126*
M-ALPS03150278
بالا هیچ یک** 12 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور وقفه مدیریت سیستم مدیاتک

افزایش آسیب پذیری امتیاز در درایور وقفه مدیریت سیستم MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0616 A-34470286*
M-ALPS03149160
بالا هیچ یک** 19 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور ویدیوی مدیاتک

افزایش آسیب پذیری امتیاز در درایور ویدیوی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0617 A-34471002*
M-ALPS03149173
بالا هیچ یک** 19 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور صف فرمان مدیاتک

افزایش آسیب پذیری امتیاز در درایور صف فرمان MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0618 A-35100728*
M-ALPS03161536
بالا هیچ یک** 7 فوریه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور کنترلر پین کوالکام

افزایش آسیب پذیری امتیاز در درایور کنترل کننده پین ​​کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0619 الف-35401152
QC-CR#826566
بالا Nexus 6، Android One 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور مدیریت کانال امن کوالکام

افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Channel Manager می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0620 الف-35401052
QC-CR#1081711
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور کدک صدا کوالکام

افزایش آسیب‌پذیری امتیاز در درایور کدک صدای Qualcomm می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-5862 A-35399803
QC-CR#1099607
بالا پیکسل، پیکسل XL 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور تنظیم کننده ولتاژ هسته

افزایش آسیب پذیری امتیاز در درایور تنظیم کننده ولتاژ هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2014-9940 الف-35399757
هسته بالادست
بالا Nexus 6، Nexus 9، Pixel C، Android One، Nexus Player 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام

افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0621 A-35399703
QC-CR#831322
بالا اندروید وان 15 فوریه 2017

افزایش آسیب پذیری امتیاز در درایور شبکه کوالکام

افزایش آسیب پذیری امتیاز در درایور شبکه کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-5868 الف-35392791
QC-CR#1104431
بالا Nexus 5X، Pixel، Pixel XL 15 فوریه 2017

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-7184 الف-36565222
هسته بالادست [2]
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Android One 23 مارس 2017

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Goodix

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Goodix می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0622 الف-32749036
QC-CR#1098602
بالا اندروید وان گوگل داخلی

افزایش آسیب پذیری امتیاز در بوت لودر HTC

افزایش آسیب پذیری امتیاز در بوت لودر HTC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه بوت لودر اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0623 A-32512358*
بالا پیکسل، پیکسل XL گوگل داخلی

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور وای فای کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور Wi-Fi کوالکام می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0624 A-34327795*
QC-CR#2005832
بالا Nexus 5X، Pixel، Pixel XL 16 ژانویه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور صف فرمان مدیاتک

یک آسیب‌پذیری افشای اطلاعات در درایور صف فرمان MediaTek می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0625 A-35142799*
M-ALPS03161531
بالا هیچ یک** 8 فوریه 2017

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری افشای اطلاعات در درایور موتور کریپتو کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور موتور کریپتو کوالکام می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0626 الف-35393124
QC-CR#1088050
بالا Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One 15 فوریه 2017

آسیب پذیری انکار سرویس در درایور وای فای کوالکام

آسیب‌پذیری انکار سرویس در درایور وای‌فای کوالکام می‌تواند مهاجم نزدیک را قادر به انکار سرویس در زیرسیستم Wi-Fi کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10292 A-34514463*
QC-CR#1065466
بالا Nexus 5X، Pixel، Pixel XL 16 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور UVC هسته

یک آسیب‌پذیری افشای اطلاعات در درایور هسته UVC می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0627 A-33300353*
در حد متوسط Nexus 5X، Nexus 6P، Nexus 9، Pixel C، Nexus Player 2 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب‌پذیری افشای اطلاعات در درایور ویدیوی کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور ویدیوی Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10293 الف-33352393
QC-CR#1101943
در حد متوسط Nexus 5X، Nexus 6P، Android One 4 دسامبر 2016

آسیب پذیری افشای اطلاعات در درایور پاور کوالکام (ویژه دستگاه)

یک آسیب‌پذیری افشای اطلاعات در درایور برق کوالکام می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10294 الف-33621829
QC-CR#1105481
در حد متوسط Nexus 5X، Nexus 6P، Pixel، Pixel XL 14 دسامبر 2016

آسیب پذیری افشای اطلاعات در درایور LED Qualcomm

یک آسیب‌پذیری افشای اطلاعات در درایور LED Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10295 الف-33781694
QC-CR#1109326
در حد متوسط پیکسل، پیکسل XL 20 دسامبر 2016

آسیب‌پذیری افشای اطلاعات در درایور حافظه مشترک کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور حافظه مشترک کوالکام می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-10296 الف-33845464
QC-CR#1109782
در حد متوسط Nexus 5x ، Nexus 6P ، Pixel ، Pixel XL ، Android One 22 دسامبر 2016

آسیب پذیری افشای اطلاعات در راننده دوربین Qualcomm

آسیب پذیری افشای اطلاعات در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط ​​رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.

CVE منابع شدت دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2017-0628 A-34230377
QC-CR#1086833
در حد متوسط Nexus 5x ، Nexus 6 ، Pixel ، Pixel XL 10 ژانویه 2017
CVE-2017-0629 A-35214296
QC-CR#1086833
در حد متوسط Nexus 5x ، Nexus 6 ، Pixel ، Pixel XL 8 فوریه 2017

آسیب پذیری افشای اطلاعات در زیر سیستم ردیابی هسته

آسیب پذیری افشای اطلاعات در زیر سیستم ردیابی هسته می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز آن کند. این مسئله به عنوان متوسط ​​رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.

CVE منابع شدت دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2017-0630 A-34277115*
در حد متوسط Nexus 5x ، Nexus 6 ، Nexus 6P ، Nexus 9 ، Pixel ، Pixel XL ، Pixel C ، Android One ، Nexus Player 11 ژانویه 2017

* وصله این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm

آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط ​​رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.

CVE منابع شدت دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2016-5858 A-35400153
QC-CR#1096799 [2]
در حد متوسط Nexus 5x ، Nexus 6 ، Nexus 6P ، Pixel ، Pixel XL ، Android One 15 فوریه 2017

آسیب پذیری افشای اطلاعات در راننده دوربین Qualcomm

آسیب پذیری افشای اطلاعات در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط ​​رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.

CVE منابع شدت دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2017-0631 A-35399756
QC-CR#1093232
در حد متوسط Nexus 5x ، Nexus 6P ، Pixel ، Pixel XL ، Android One 15 فوریه 2017

آسیب پذیری افشای اطلاعات در راننده صدا Qualcomm

آسیب پذیری افشای اطلاعات در درایور صدا Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط ​​رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.

CVE منابع شدت دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2016-5347 A-35394329
QC-CR#1100878
در حد متوسط Nexus 5x ، Nexus 6 ، Nexus 6P ، Pixel ، Pixel XL ، Android One 15 فوریه 2017

آسیب پذیری افشای اطلاعات در راننده Qualcomm SPCOM

آسیب پذیری افشای اطلاعات در درایور Qualcomm SPCOM می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط ​​رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.

CVE منابع شدت دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2016-5854 A-35392792
QC-CR#1092683
در حد متوسط هیچ یک* 15 فوریه 2017
CVE-2016-5855 A-35393081
QC-CR#1094143
در حد متوسط هیچ یک* 15 فوریه 2017

* از دستگاه های Google پشتیبانی شده در Android 7.1.1 یا بعد از آن که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm

آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط ​​رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.

CVE منابع شدت دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2017-0632 A-35392586
QC-CR#832915
در حد متوسط اندروید وان 15 فوریه 2017

آسیب پذیری افشای اطلاعات در راننده Wi-Fi Broadcom

آسیب پذیری افشای اطلاعات در درایور Wi-Fi Broadcom می تواند یک مؤلفه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط ​​رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.

CVE منابع شدت دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2017-0633 A-36000515*
B-RB#117131
در حد متوسط Nexus 6 ، Nexus 6P ، Nexus 9 ، Pixel C ، Nexus Player 23 فوریه 2017

* وصله این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور صفحه لمسی Synaptics

آسیب پذیری افشای اطلاعات در درایور لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط ​​رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.

CVE منابع شدت دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2017-0634 A-32511682*
در حد متوسط پیکسل، پیکسل XL گوگل داخلی

* وصله این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری در اجزای Qualcomm

این آسیب پذیری های مؤثر بر اجزای Qualcomm به عنوان بخشی از بولتن های امنیتی Qualcomm AMSS بین سالهای 2014 تا 2016 منتشر شد. آنها در این بولتن امنیتی Android گنجانده شده اند تا اصلاحات خود را با سطح پچ امنیتی اندرویدی مرتبط کنند.

CVE منابع شدت* دستگاه های Google به روز شده تاریخ گزارش شده
CVE-2014-9923 A-35434045 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2014-9924 A-35434631 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2014-9925 A-35444657 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2014-9926 A-35433784 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2014-9927 A-35433785 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2014-9928 A-35438623 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2014-9929 A-35443954 **
QC-CR#644783
بحرانی هیچ یک*** کوالکام داخلی
CVE-2014-9930 A-35432946 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2015-9005 A-36393500 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2015-9006 A-36393450 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2015-9007 A-36393700 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2016-10297 A-36393451 ** بحرانی هیچ یک*** کوالکام داخلی
CVE-2014-9941 A-36385125 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9942 A-36385319 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9943 A-36385219 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9944 A-36384534 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9945 A-36386912 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9946 A-36385281 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9947 A-36392400 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9948 A-36385126 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9949 A-36390608 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9950 A-36385321 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9951 A-36389161 ** بالا هیچ یک*** کوالکام داخلی
CVE-2014-9952 A-36387019 ** بالا هیچ یک*** کوالکام داخلی

* امتیاز شدت این آسیب پذیری ها توسط فروشنده تعیین شد.

** وصله این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

*** از دستگاه های Google پشتیبانی شده در Android 7.1.1 یا بعد از آن که همه به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.

پرسش ها و پاسخ های متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه ، دستورالعمل های مربوط به برنامه به روزرسانی Pixel و Nexus را بخوانید.

  • سطح امنیت پچ امنیت 2017-05-01 یا بعداً به کلیه موضوعات مرتبط با سطح پچ امنیتی 2017-05-01 پرداخته است.
  • سطح امنیت پچ امنیت 2017-05-05 یا بعداً به کلیه موضوعات مرتبط با سطح پچ امنیتی 2017-05-05 و تمام سطح پچ قبلی پرداخته می شود.

سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:

  • [ro.build.version.securance_patch]: [2017-05-01]
  • [ro.build.version.securance_patch]: [2017-05-05]

2. چرا این بولتن دارای دو سطح وصله امنیتی است؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.

  • دستگاه هایی که از سطح پچ امنیتی 01 مه 2017 استفاده می کنند ، باید شامل کلیه موارد مرتبط با آن سطح پچ امنیتی و همچنین رفع کلیه موارد گزارش شده در بولتن های امنیتی قبلی باشند.
  • دستگاه هایی که از سطح امنیتی پچ امنیت 05 مه 2017 یا جدیدتر استفاده می کنند ، باید کلیه تکه های قابل اجرا را در این بولتن های امنیتی (و قبلی) شامل شوند.

شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.

3. چگونه می توانم تعیین کنم که دستگاه های Google تحت تأثیر هر شماره قرار می گیرند؟

در بخش های جزئیات آسیب پذیری امنیتی 2017-05-01 و 2017-05-05 ، هر جدول دارای یک ستون دستگاه های Google به روز شده است که دامنه دستگاههای گوگل تحت تأثیر را برای هر شماره به روز می کند. این ستون چند گزینه دارد:

  • همه دستگاه های Google : اگر یک مسئله بر همه دستگاه های پیکسل تأثیر بگذارد ، جدول در ستون به روز شده Google Devices "All" خواهد داشت. "All" دستگاه های پشتیبانی شده زیر را محصور می کند: Nexus 5X ، Nexus 6 ، Nexus 6P ، Nexus 9 ، Android One ، Nexus Player ، Pixel C ، Pixel و Pixel XL.
  • برخی از دستگاه های Google : اگر یک مسئله بر همه دستگاه های Google تأثیر نگذارد ، دستگاه های تحت تأثیر Google در ستون به روز شده Google Devices ذکر شده اند.
  • هیچ دستگاه Google : اگر دستگاه های Google که Android 7.0 را اجرا نمی کند ، تحت تأثیر این مسئله قرار نمی گیرند ، جدول در ستون دستگاه های Google به روز شده "هیچ" نخواهد داشت.

4- ورودی های موجود در ستون منابع به چه چیزی می پردازند؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. این پیشوندها به شرح زیر است:

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
n- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

تجدید نظرها

  • 01 مه 2017: بولتن منتشر شد.
  • 02 مه 2017: بولتن اصلاح شده برای پیوندهای AOSP.
  • 10 آگوست 2017: بولتن اصلاح شده برای پیوند اضافی AOSP برای CVE-2017-0493.
  • 17 آگوست 2017: بولتن برای به روزرسانی شماره های مرجع اصلاح شد.
  • 03 اکتبر 2017: بولتن اصلاح شده برای حذف CVE-2017-0605.