بولتن امنیتی اندروید - ژوئن 2017

منتشر شده در 5 ژوئن 2017 | به روز شده در 17 آگوست 2017

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. سطوح وصله امنیتی 05 ژوئن 2017 یا بعد از آن همه این مسائل را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه به‌روزرسانی Pixel و Nexus مراجعه کنید.

شرکا حداقل یک ماه پیش از مسائلی که در بولتن توضیح داده شده است مطلع شدند. وصله‌های کد منبع برای این مشکلات در مخزن Android Open Source Project (AOSP) منتشر می‌شود و از این بولتن پیوند داده می‌شود. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی مهم در Media Framework است که می تواند یک مهاجم راه دور را با استفاده از یک فایل ساخته شده خاص قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده ها خراب کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و تخفیف‌های سرویس برای اهداف توسعه خاموش شده‌اند یا در صورت دور زدن موفقیت‌آمیز انجام شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت از پلتفرم امنیتی Android و Google Play Protect که امنیت پلتفرم اندروید را بهبود می‌بخشد، به بخش تخفیف‌های Android و Google Play Protect مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

توجه: اطلاعات مربوط به آخرین به‌روزرسانی خارج از هوا (OTA) و تصاویر میان‌افزار دستگاه‌های Google در بخش به‌روزرسانی‌های دستگاه Google موجود است.

اطلاعیه ها

  • ما بولتن امنیتی ماهانه را ساده کرده ایم تا خواندن آن را آسانتر کنیم. به‌عنوان بخشی از این به‌روزرسانی، اطلاعات آسیب‌پذیری بر اساس مؤلفه آسیب‌دیده طبقه‌بندی می‌شود، بر اساس نام مؤلفه در سطح وصله امنیتی طبقه‌بندی می‌شود و اطلاعات مربوط به دستگاه Google در بخش اختصاصی میزبانی می‌شود.
  • این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌ها را که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/06/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/06/2017 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
    • 05/06/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2017-06-01 و 2017-06-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.

اقدامات کاهشی Android و Google Play Protect

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیش‌فرض در دستگاه‌های دارای سرویس‌های Google Mobile فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است.

سطح وصله امنیتی 01/06/2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۱-۰۶-۲۰۱۷ اعمال می‌شود، ارائه می‌کنیم. آسیب پذیری ها تحت مؤلفه ای که بر آن تأثیر می گذارند گروه بندی می شوند. شرحی از مشکل و جدولی با CVE، مراجع مرتبط، نوع آسیب‌پذیری ، شدت و نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

بلوتوث

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0645 الف-35385327 EoP در حد متوسط 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0646 الف-33899337 شناسه در حد متوسط 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

کتابخانه ها

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک مهاجم راه دور را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2015-8871 A-35443562 * RCE بالا 5.0.2، 5.1.1، 6.0، 6.0.1
CVE-2016-8332 A-37761553 * RCE بالا 5.0.2، 5.1.1، 6.0، 6.0.1
CVE-2016-5131 A-36554209 RCE بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2016-4658 الف-36554207 RCE بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0663 الف-37104170 RCE بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-7376 A-36555370 RCE بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-5056 A-36809819 RCE در حد متوسط 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-7375 A-36556310 RCE در حد متوسط 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0647 الف-36392138 شناسه در حد متوسط 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2016-1839 الف-36553781 DoS در حد متوسط 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

چارچوب رسانه ای

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک مهاجم راه دور را با استفاده از یک فایل ساخته‌شده خاص فعال کند تا در طول فایل رسانه و پردازش داده، حافظه را خراب کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0637 A-34064500 RCE بحرانی 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0391 الف-32322258 DoS بالا 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0640 A-33129467 * DoS بالا 6.0، 6.0.1، 7.0، 7.1.1
CVE-2017-0641 الف-34360591 DoS بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0642 الف-34819017 DoS بالا 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0643 A-35645051 * DoS بالا 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1
CVE-2017-0644 A-35472997 * DoS بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1

رابط کاربری سیستم

شدیدترین آسیب‌پذیری در این بخش می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0638 الف-36368305 RCE بالا 7.1.1، 7.1.2

سطح وصله امنیتی 05/06/2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۵-۰۶-۲۰۱۷ اعمال می‌شوند، ارائه می‌کنیم. آسیب‌پذیری‌ها تحت مؤلفه‌ای که بر آن تأثیر می‌گذارند گروه‌بندی می‌شوند و شامل جزئیاتی مانند CVE، مراجع مرتبط، نوع آسیب‌پذیری ، شدت ، مؤلفه (در صورت لزوم)، و نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) می‌شوند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

اجزای هسته

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-0648 A-36101220 * EoP بالا FIQ debugger
CVE-2017-0651 A-35644815 * شناسه کم زیرسیستم ION

کتابخانه ها

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک مهاجم راه دور را با استفاده از یک فایل خاص ساخته شده برای دسترسی به اطلاعات حساس فعال کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2015-7995 A-36810065 * شناسه در حد متوسط 4.4.4

اجزای مدیاتک

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-0636 A-35310230 *
M-ALPS03162263
EoP بالا درایور صف فرمان
CVE-2017-0649 A-34468195 *
M-ALPS03162283
EoP در حد متوسط درایور صدا

اجزای NVIDIA

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-6247 A-34386301 *
N-CVE-2017-6247
EoP بالا درایور صدا
CVE-2017-6248 A-34372667 *
N-CVE-2017-6248
EoP در حد متوسط درایور صدا
CVE-2017-6249 A-34373711 *
N-CVE-2017-6249
EoP در حد متوسط درایور صدا

قطعات کوالکام

شدیدترین آسیب پذیری در این بخش می تواند یک مهاجم نزدیک را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-7371 الف-36250786
QC-CR#1101054
RCE بحرانی درایور بلوتوث
CVE-2017-7365 الف-32449913
QC-CR#1017009
EoP بالا بوت لودر
CVE-2017-7366 الف-36252171
QC-CR#1036161 [ 2 ]
EoP بالا درایور پردازنده گرافیکی
CVE-2017-7367 الف-34514708
QC-CR#1008421
DoS بالا بوت لودر
CVE-2016-5861 الف-36251375
QC-CR#1103510
EoP در حد متوسط درایور ویدئو
CVE-2016-5864 الف-36251231
QC-CR#1105441
EoP در حد متوسط درایور صدا
CVE-2017-6421 A-36251986
QC-CR#1110563
EoP در حد متوسط درایور صفحه لمسی MStar
CVE-2017-7364 الف-36252179
QC-CR#1113926
EoP در حد متوسط درایور ویدئو
CVE-2017-7368 الف-33452365
QC-CR#1103085
EoP در حد متوسط درایور صدا
CVE-2017-7369 الف-33751424
QC-CR#2009216 [ 2 ]
EoP در حد متوسط درایور صدا
CVE-2017-7370 الف-34328139
QC-CR#2006159
EoP در حد متوسط درایور ویدئو
CVE-2017-7372 الف-36251497
QC-CR#1110068
EoP در حد متوسط درایور ویدئو
CVE-2017-7373 A-36251984
QC-CR#1090244
EoP در حد متوسط درایور ویدئو
CVE-2017-8233 الف-34621613
QC-CR#2004036
EoP در حد متوسط راننده دوربین
CVE-2017-8234 الف-36252121
QC-CR#832920
EoP در حد متوسط راننده دوربین
CVE-2017-8235 الف-36252376
QC-CR#1083323
EoP در حد متوسط راننده دوربین
CVE-2017-8236 الف-35047217
QC-CR#2009606
EoP در حد متوسط درایور IPA
CVE-2017-8237 الف-36252377
QC-CR#1110522
EoP در حد متوسط درایور شبکه
CVE-2017-8242 الف-34327981
QC-CR#2009231
EoP در حد متوسط درایور ارتباط دهنده محیط اجرای امن
CVE-2017-8239 الف-36251230
QC-CR#1091603
شناسه در حد متوسط راننده دوربین
CVE-2017-8240 A-36251985
QC-CR#856379
شناسه در حد متوسط پین درایور کنترلر
CVE-2017-8241 الف-34203184
QC-CR#1069175
شناسه کم درایور وای فای

اجزای سیناپتیک

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-0650 A-35472278 * EoP کم درایور صفحه لمسی

اجزای منبع بسته کوالکام

این آسیب‌پذیری‌ها بر مؤلفه‌های Qualcomm تأثیر می‌گذارند و با جزئیات بیشتر در بولتن‌های امنیتی Qualcomm AMSS از 2014-2016 توضیح داده شده‌اند. آنها در این بولتن امنیتی اندروید گنجانده شده‌اند تا رفع‌های خود را با سطح وصله امنیتی اندروید مرتبط کنند. رفع این آسیب‌پذیری‌ها مستقیماً از کوالکام در دسترس است.

CVE منابع تایپ کنید شدت جزء
CVE-2014-9960 A-37280308 * N/A بحرانی جزء منبع بسته
CVE-2014-9961 A-37279724 * N/A بحرانی جزء منبع بسته
CVE-2014-9953 A-36714770 * N/A بحرانی جزء منبع بسته
CVE-2014-9967 A-37281466 * N/A بحرانی جزء منبع بسته
CVE-2015-9026 A-37277231 * N/A بحرانی جزء منبع بسته
CVE-2015-9027 A-37279124 * N/A بحرانی جزء منبع بسته
CVE-2015-9008 A-36384689 * N/A بحرانی جزء منبع بسته
CVE-2015-9009 A-36393600 * N/A بحرانی جزء منبع بسته
CVE-2015-9010 A-36393101 * N/A بحرانی جزء منبع بسته
CVE-2015-9011 A-36714882 * N/A بحرانی جزء منبع بسته
CVE-2015-9024 A-37265657 * N/A بحرانی جزء منبع بسته
CVE-2015-9012 A-36384691 * N/A بحرانی جزء منبع بسته
CVE-2015-9013 A-36393251 * N/A بحرانی جزء منبع بسته
CVE-2015-9014 A-36393750 * N/A بحرانی جزء منبع بسته
CVE-2015-9015 A-36714120 * N/A بحرانی جزء منبع بسته
CVE-2015-9029 A-37276981 * N/A بحرانی جزء منبع بسته
CVE-2016-10338 A-37277738 * N/A بحرانی جزء منبع بسته
CVE-2016-10336 A-37278436 * N/A بحرانی جزء منبع بسته
CVE-2016-10333 A-37280574 * N/A بحرانی جزء منبع بسته
CVE-2016-10341 A-37281667 * N/A بحرانی جزء منبع بسته
CVE-2016-10335 A-37282802 * N/A بحرانی جزء منبع بسته
CVE-2016-10340 A-37280614 * N/A بحرانی جزء منبع بسته
CVE-2016-10334 A-37280664 * N/A بحرانی جزء منبع بسته
CVE-2016-10339 A-37280575 * N/A بحرانی جزء منبع بسته
CVE-2016-10298 A-36393252 * N/A بحرانی جزء منبع بسته
CVE-2016-10299 A-32577244 * N/A بحرانی جزء منبع بسته
CVE-2014-9954 A-36388559 * N/A بالا جزء منبع بسته
CVE-2014-9955 A-36384686 * N/A بالا جزء منبع بسته
CVE-2014-9956 A-36389611 * N/A بالا جزء منبع بسته
CVE-2014-9957 A-36387564 * N/A بالا جزء منبع بسته
CVE-2014-9958 A-36384774 * N/A بالا جزء منبع بسته
CVE-2014-9962 A-37275888 * N/A بالا جزء منبع بسته
CVE-2014-9963 A-37276741 * N/A بالا جزء منبع بسته
CVE-2014-9959 A-36383694 * N/A بالا جزء منبع بسته
CVE-2014-9964 A-37280321 * N/A بالا جزء منبع بسته
CVE-2014-9965 A-37278233 * N/A بالا جزء منبع بسته
CVE-2014-9966 A-37282854 * N/A بالا جزء منبع بسته
CVE-2015-9023 A-37276138 * N/A بالا جزء منبع بسته
CVE-2015-9020 A-37276742 * N/A بالا جزء منبع بسته
CVE-2015-9021 A-37276743 * N/A بالا جزء منبع بسته
CVE-2015-9025 A-37276744 * N/A بالا جزء منبع بسته
CVE-2015-9022 A-37280226 * N/A بالا جزء منبع بسته
CVE-2015-9028 A-37277982 * N/A بالا جزء منبع بسته
CVE-2015-9031 A-37275889 * N/A بالا جزء منبع بسته
CVE-2015-9032 A-37279125 * N/A بالا جزء منبع بسته
CVE-2015-9033 A-37276139 * N/A بالا جزء منبع بسته
CVE-2015-9030 A-37282907 * N/A بالا جزء منبع بسته
CVE-2016-10332 A-37282801 * N/A بالا جزء منبع بسته
CVE-2016-10337 A-37280665 * N/A بالا جزء منبع بسته
CVE-2016-10342 A-37281763 * N/A بالا جزء منبع بسته

به روز رسانی دستگاه گوگل

این جدول حاوی سطح وصله امنیتی در آخرین به‌روزرسانی هوایی (OTA) و تصاویر میان‌افزار دستگاه‌های Google است. تصاویر سفت‌افزار دستگاه Google در سایت Google Developer موجود است.

دستگاه گوگل سطح وصله امنیتی
پیکسل / پیکسل XL 05 ژوئن 2017
Nexus 5X 05 ژوئن 2017
Nexus 6 05 ژوئن 2017
Nexus 6P 05 ژوئن 2017
Nexus 9 05 ژوئن 2017
Nexus Player 05 ژوئن 2017
پیکسل سی 05 ژوئن 2017

به‌روزرسانی‌های دستگاه Google همچنین حاوی وصله‌هایی برای این آسیب‌پذیری‌های امنیتی هستند، در صورت وجود:

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0639 A-35310991 شناسه بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

CVE ها محققین
CVE-2017-0643، CVE-2017-0641 Ecular Xu (徐健) از Trend Micro
CVE-2017-0645، CVE-2017-0639 En He ( @heeeeen4x ) و بو لیو از MS509Team
CVE-2017-0649 Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd.
CVE-2017-0646 گودژنگ (郑文选 - @VirtualSeekers ) از Tencent PC Manager
CVE-2017-0636 جیک کورینا ( @JakeCorina ) از تیم Shellphish Grill
CVE-2017-8233 Jianqiang Zhao ( @jianqiangzhao ) و pjf آزمایشگاه IceSword، Qihoo 360
CVE-2017-7368 لوبو ژانگ ( zlbzlb815@163.com )، یوان تسونگ لو ( computernik@gmail.com )، و ژاکسیان جیانگ از تیم C0RE
CVE-2017-8242 ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا
CVE-2017-0650 عمر شوارتز، امیر کوهن، دکتر آسف شبتای و دکتر یوسی اورن از آزمایشگاه سایبری دانشگاه بن گوریون
CVE-2017-0648 Roee Hay ( @roeehay ) از Aleph Research ، HCL Technologies
CVE-2017-7369، CVE-2017-6249، CVE-2017-6247، CVE-2017-6248 هفت شن ( @lingtongshen ) از TrendMicro
CVE-2017-0642، CVE-2017-0637، CVE-2017-0638 واسیلی واسیلیف
CVE-2017-0640 VEO ( @VYSEa ) تیم پاسخگویی تهدیدات موبایل ، Trend Micro
CVE-2017-8236 Xiling Gong از بخش پلت فرم امنیتی Tencent
CVE-2017-0647 Yangkang ( @dnpushme ) و Liyadong از تیم Qex، Qihoo 360
CVE-2017-7370 Yonggang Guo ( @guoygang ) از IceSword Lab، Qihoo 360 Technology Co. Ltd.
CVE-2017-0651 یوان تسونگ لو ( computernik@gmail.com ) و ژوکیان جیانگ از تیم C0RE
CVE-2017-8241 زوبین میترا از گوگل

پرسش و پاسخ متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی Pixel و Nexus را بخوانید.

  • سطوح وصله امنیتی 2017-06-01 یا جدیدتر، تمام مسائل مرتبط با سطح وصله امنیتی 2017-06-01 را بررسی می‌کنند.
  • سطوح وصله امنیتی 2017-06-05 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 2017-06-05 و تمام سطوح وصله قبلی را برطرف می کند.

سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:

  • [ro.build.version.security_patch]: [01/06/2017]
  • [ro.build.version.security_patch]:[05/06/2017]

2. چرا این بولتن دارای دو سطح وصله امنیتی است؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.

  • دستگاه‌هایی که از سطح وصله امنیتی 01 ژوئن 2017 استفاده می‌کنند باید شامل همه مشکلات مرتبط با آن سطح وصله امنیتی و همچنین رفع تمام مشکلات گزارش‌شده در بولتن‌های امنیتی قبلی باشند.
  • دستگاه‌هایی که از سطح وصله امنیتی 05 ژوئن 2017 یا جدیدتر استفاده می‌کنند باید همه وصله‌های قابل‌اجرا در این بولتن‌های امنیتی (و قبلی) را شامل شوند.

شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.

3. ورودی های ستون Type به چه معناست؟

ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی در دسترس نیست

4. ورودی های ستون References به چه معناست؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

5. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟

مسائلی که به صورت عمومی در دسترس نیستند دارای یک * در کنار شناسه اشکال Android در ستون References هستند. به‌روزرسانی این مشکل معمولاً در آخرین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

نسخه ها

نسخه تاریخ یادداشت
1.0 5 ژوئن 2017 بولتن منتشر شد.
1.1 7 ژوئن 2017 بولتن اصلاح شد تا شامل پیوندهای AOSP باشد.
1.2 11 جولای 2017 بولتن اصلاح شد تا شامل CVE-2017-6249 باشد.
1.3 17 آگوست 2017 بولتن برای به‌روزرسانی شماره‌های مرجع اصلاح شد.