نشرة أمان Android — يوليو 2017

تم النشر في 5 يوليو 2017 | تم التحديث في 26 سبتمبر 2017

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. تتناول مستويات تصحيح الأمان بتاريخ 05 يوليو 2017 أو الإصدارات الأحدث جميع هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة منذ شهر على الأقل. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات في مستودع Android Open Source Project (AOSP) وتم ربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة في إطار الوسائط والتي يمكن أن تمكن المهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أنه تم إيقاف تشغيل عمليات تخفيف النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف Android وGoogle Play Protect للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وGoogle Play Protect، مما يعمل على تحسين أمان نظام Android الأساسي.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

ملاحظة: تتوفر معلومات حول آخر تحديث عبر الهواء (OTA) وصور البرامج الثابتة لأجهزة Google في قسم تحديثات أجهزة Google .

الإعلانات

  • تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/07/2017 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بتاريخ 01/07/2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 05/07/2017 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أن كافة المشكلات المرتبطة بـ 01/07/2017 و05/07/2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة) قد تمت معالجتها.

عمليات تخفيف Android وGoogle Play Protect

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل Google Play Protect . تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق أمان Android بمراقبة إساءة الاستخدام بشكل نشط من خلال Google Play Protect ويحذر المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين Google Play Protect افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت تطبيقات من خارج Google Play.

01-07-2017 مستوى التصحيح الأمني ​​— تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-07-2017. يتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر عليه. يوجد وصف للمشكلة وجدول يتضمن CVE والمراجع المرتبطة ونوع الثغرة الأمنية وخطورتها وإصدارات AOSP المحدثة (حيثما أمكن). عندما يكون ذلك متاحًا، نقوم بربط التغيير العام الذي تناول المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

مدة العرض

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بأي امتيازات.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-3544 أ-35784677 آر سي إي معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

نطاق

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي يستخدم ملفًا معدًا خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق تطبيق يستخدم المكتبة.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0664 أ-36491278 EOP عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0665 أ-36991414 EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0666 أ-37285689 EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0667 أ-37478824 EOP عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0668 أ-22011579 بطاقة تعريف معتدل 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0669 أ-34114752 بطاقة تعريف عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0670 أ-36104177 دوس عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

المكتبات

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد يستخدم ملفًا معدًا خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق التطبيق الذي يستخدم المكتبة.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0671 أ-34514762 * آر سي إي عالي 4.4.4
CVE-2016-2109 أ-35443725 دوس عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0672 أ-34778578 دوس عالي 7.0، 7.1.1، 7.1.2

الإطار الإعلامي

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0540 أ-33966031 آر سي إي شديد الأهمية 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0673 أ-33974623 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0674 أ-34231163 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0675 ا-34779227 [ 2 ] آر سي إي شديد الأهمية 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0676 أ-34896431 آر سي إي شديد الأهمية 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0677 أ-36035074 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0678 أ-36576151 آر سي إي شديد الأهمية 7.0، 7.1.1، 7.1.2
CVE-2017-0679 أ-36996978 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0680 أ-37008096 آر سي إي شديد الأهمية 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0681 أ-37208566 آر سي إي شديد الأهمية 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0682 أ-36588422 * آر سي إي عالي 7.0، 7.1.1، 7.1.2
CVE-2017-0683 أ-36591008 * آر سي إي عالي 7.0، 7.1.1، 7.1.2
CVE-2017-0684 أ-35421151 EOP عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0685 أ-34203195 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0686 أ-34231231 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0688 أ-35584425 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0689 أ-36215950 دوس عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0690 أ-36592202 دوس عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0691 أ-36724453 دوس عالي 7.0، 7.1.1، 7.1.2
CVE-2017-0692 أ-36725407 دوس عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0693 أ-36993291 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0694 أ-37093318 دوس عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0695 أ-37094889 دوس عالي 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0696 أ-37207120 دوس عالي 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0697 أ-37239013 دوس عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0698 أ-35467458 بطاقة تعريف معتدل 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0699 أ-36490809 بطاقة تعريف معتدل 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

واجهة مستخدم النظام

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة تحديث إصدارات AOSP
CVE-2017-0700 أ-35639138 آر سي إي عالي 7.1.1، 7.1.2
CVE-2017-0701 ا-36385715 [ 2 ] آر سي إي عالي 7.1.1، 7.1.2
CVE-2017-0702 أ-36621442 آر سي إي عالي 7.1.1، 7.1.2
CVE-2017-0703 أ-33123882 EOP عالي 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0704 أ-33059280 EOP معتدل 7.1.1، 7.1.2

05-07-2017 مستوى التصحيح الأمني ​​— تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2017-07-05. يتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر عليه وتتضمن تفاصيل مثل CVE والمراجع المرتبطة ونوع الثغرة الأمنية وخطورتها والمكون (حيثما ينطبق ذلك) وإصدارات AOSP المحدثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نقوم بربط التغيير العام الذي تناول المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

مكونات برودكوم

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين المهاجم المباشر من تنفيذ تعليمات برمجية عشوائية في سياق النواة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-9417 أ-38041027 *
ب-رب #123023
آر سي إي شديد الأهمية سائق واي فاي
CVE-2017-0705 ا-34973477 *
ب-رب #119898
EOP معتدل سائق واي فاي
CVE-2017-0706 أ-35195787 *
ب-رب #120532
EOP معتدل سائق واي فاي

مكونات اتش تي سي

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0707 أ-36088467 * EOP معتدل يقودها سائق
CVE-2017-0708 أ-35384879 * بطاقة تعريف معتدل سائق الصوت
CVE-2017-0709 أ-35468048 * بطاقة تعريف قليل سائق محور الاستشعار

مكونات النواة

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-6074 أ-35784697
نواة المنبع
EOP عالي النظام الفرعي للشبكات
CVE-2017-5970 أ-35805460
نواة المنبع
دوس عالي النظام الفرعي للشبكات
CVE-2015-5707 أ-35841297
نواة المنبع [ 2 ]
EOP معتدل سائق SCSI
CVE-2017-7308 أ-36725304
نواة المنبع [ 2 ] [ 3 ]
EOP معتدل سائق الشبكات
CVE-2014-9731 أ-35841292
نواة المنبع
بطاقة تعريف معتدل نظام الملفات

مكونات ميدياتك

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0711 أ-36099953 *
م-ALPS03206781
EOP عالي سائق الشبكات

مكونات نفيديا

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0340 ا-33968204 *
N-CVE-2017-0340
EOP عالي Libnvparser
CVE-2017-0326 أ-33718700 *
N-CVE-2017-0326
بطاقة تعريف معتدل سائق الفيديو

مكونات كوالكوم

قد تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-8255 أ-36251983
مراقبة الجودة-CR#985205
EOP عالي محمل الإقلاع
CVE-2016-10389 أ-34500449
مراقبة الجودة-CR#1009145
EOP عالي محمل الإقلاع
CVE-2017-8253 أ-35400552
مراقبة الجودة-CR#1086764
EOP عالي سائق الكاميرا
CVE-2017-8262 أ-32938443
مراقبة الجودة-CR#2029113
EOP عالي سائق GPU
CVE-2017-8263 أ-34126808 *
مراقبة الجودة-CR#1107034
EOP عالي النظام الفرعي للذاكرة المشتركة المجهولة
CVE-2017-8267 أ-34173755 *
مراقبة الجودة-CR#2001129
EOP عالي النظام الفرعي للذاكرة المشتركة المجهولة
CVE-2017-8273 أ-35400056
مراقبة الجودة-CR#1094372 [ 2 ]
EOP عالي محمل الإقلاع
CVE-2016-5863 أ-36251182
مراقبة الجودة-CR#1102936
EOP معتدل برنامج تشغيل USB HID
CVE-2017-8243 أ-34112490 *
مراقبة الجودة-CR#2001803
EOP معتدل سائق شركة نفط الجنوب
CVE-2017-8246 أ-37275839
مراقبة الجودة-CR#2008031
EOP معتدل سائق الصوت
CVE-2017-8256 أ-37286701
مراقبة الجودة-CR#1104565
EOP معتدل سائق واي فاي
CVE-2017-8257 أ-37282763
مراقبة الجودة-CR#2003129
EOP معتدل سائق الفيديو
CVE-2017-8259 أ-34359487
مراقبة الجودة-CR#2009016
EOP معتدل سائق شركة نفط الجنوب
CVE-2017-8260 أ-34624155
مراقبة الجودة-CR#2008469
EOP معتدل سائق الكاميرا
CVE-2017-8261 أ-35139833 *
مراقبة الجودة-CR#2013631
EOP معتدل سائق الكاميرا
CVE-2017-8264 أ-33299365 *
مراقبة الجودة-CR#1107702
EOP معتدل سائق الكاميرا
CVE-2017-8265 أ-32341313
مراقبة الجودة-CR#1109755
EOP معتدل سائق الفيديو
CVE-2017-8266 أ-33863407
مراقبة الجودة-CR#1110924
EOP معتدل سائق الفيديو
CVE-2017-8268 أ-34620535 *
مراقبة الجودة-CR#2002207
EOP معتدل سائق الكاميرا
CVE-2017-8270 أ-35468665 *
مراقبة الجودة-CR#2021363
EOP معتدل سائق واي فاي
CVE-2017-8271 أ-35950388 *
مراقبة الجودة-CR#2028681
EOP معتدل سائق الفيديو
CVE-2017-8272 أ-35950805 *
مراقبة الجودة-CR#2028702
EOP معتدل سائق الفيديو
CVE-2017-8254 أ-36252027
مراقبة الجودة-CR#832914
بطاقة تعريف معتدل سائق الصوت
CVE-2017-8258 أ-37279737
مراقبة الجودة-CR#2005647
بطاقة تعريف معتدل سائق الكاميرا
CVE-2017-8269 أ-33967002 *
مراقبة الجودة-CR#2013145
بطاقة تعريف معتدل سائق IPA

مكونات كوالكوم مغلقة المصدر

تؤثر هذه الثغرات الأمنية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرات Qualcomm AMSS الأمنية في 2014-2016. وقد تم تضمينها في نشرة أمان Android هذه لربط إصلاحاتها بمستوى تصحيح أمان Android. تتوفر إصلاحات هذه الثغرات الأمنية مباشرةً من شركة Qualcomm.

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2014-9411 أ-37473054 * لا يوجد عالي مكون مغلق المصدر
CVE-2014-9968 أ-37304413 * لا يوجد عالي مكون مغلق المصدر
CVE-2014-9973 أ-37470982 * لا يوجد عالي مكون مغلق المصدر
CVE-2014-9974 أ-37471979 * لا يوجد عالي مكون مغلق المصدر
CVE-2014-9975 أ-37471230 * لا يوجد عالي مكون مغلق المصدر
CVE-2014-9977 أ-37471087 * لا يوجد عالي مكون مغلق المصدر
CVE-2014-9978 أ-37468982 * لا يوجد عالي مكون مغلق المصدر
CVE-2014-9979 أ-37471088 * لا يوجد عالي مكون مغلق المصدر
CVE-2014-9980 أ-37471029 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-0575 أ-37296999 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-8592 ا-37470090 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-8595 أ-37472411 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-8596 أ-37472806 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9034 أ-37305706 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9035 أ-37303626 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9036 أ-37303519 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9037 أ-37304366 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9038 أ-37303027 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9039 أ-37302628 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9040 أ-37303625 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9041 أ-37303518 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9042 ا-37301248 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9043 أ-37305954 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9044 أ-37303520 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9045 أ-37302136 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9046 ا-37301486 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9047 أ-37304367 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9048 أ-37305707 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9049 أ-37301488 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9050 أ-37302137 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9051 أ-37300737 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9052 أ-37304217 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9053 ا-37301249 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9054 أ-37303177 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9055 أ-37472412 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9060 أ-37472807 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9061 أ-37470436 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9062 أ-37472808 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9067 أ-37474000 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9068 أ-37470144 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9069 أ-37470777 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9070 أ-37474001 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9071 أ-37471819 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9072 أ-37474002 * لا يوجد عالي مكون مغلق المصدر
CVE-2015-9073 أ-37473407 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-10343 أ-32580186 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-10344 أ-32583954 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-10346 أ-37473408 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-10347 أ-37471089 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-10382 أ-28823584 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-10383 أ-28822389 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-10388 أ-32580294 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-10391 أ-32583804 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-5871 أ-37473055 * لا يوجد عالي مكون مغلق المصدر
CVE-2016-5872 أ-37472809 * لا يوجد عالي مكون مغلق المصدر

تحديثات جهاز جوجل

يحتوي هذا الجدول على مستوى تصحيح الأمان في آخر تحديث عبر الهواء (OTA) وصور البرامج الثابتة لأجهزة Google. تتوفر صور البرامج الثابتة لجهاز Google على موقع Google Developer .

جهاز جوجل مستوى التصحيح الأمني
بكسل / بكسل XL 05 يوليو 2017
نيكزس 5X 05 يوليو 2017
نيكزس 6 05 يوليو 2017
نيكزس 6P 05 يوليو 2017
نيكزس 9 05 يوليو 2017
مشغل نيكزس 05 يوليو 2017
بكسل سي 05 يوليو 2017

تحتوي تحديثات أجهزة Google أيضًا على تصحيحات لهذه الثغرات الأمنية، إن أمكن:

مكافحة التطرف العنيف مراجع يكتب خطورة عنصر
CVE-2017-0710 ا-34951864 * EOP معتدل التعاون الفني

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

مكافحة التطرف العنيف الباحثون
CVE-2017-8263 بيلي لاو من جوجل
CVE-2017-0711 Chengming Yang وBaozeng Ding وYang Song من مجموعة Alibaba Mobile Security Group
CVE-2017-0681 تشي تشانغ ، وهانشيانغ وين ، ومينغجيان تشو ( @Mingjian_Zhou )، وزوكسيان جيانغ من فريق C0RE
CVE-2017-0706 داشينغ غو ( @freener0 ) من Xuanwu Lab، Tencent
CVE-2017-8260 ديريك ( @derrekr6 ) وسكوت باور
CVE-2017-8265 دي شين ( @returnsme ) من KeenLab ( @keen_lab )، Tencent
CVE-2017-0703 دميتري لوكيانينكا
CVE-2017-0692، CVE-2017-0694 Elphet وGong Guang من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd.
CVE-2017-8266، CVE-2017-8243، CVE-2017-8270 Gengjia Chen ( @chengjia4574 ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd.
CVE-2017-0665 تشي تشانغ ، وهانشيانغ وين ، ومينغجيان تشو ( @Mingjian_Zhou )، وزوكسيان جيانغ من فريق C0RE
CVE-2017-8268، CVE-2017-8261 Jianqiang Zhao ( @jianqiangzhao ) و pjf من IceSword Lab، Qihoo 360
CVE-2017-0698 جوي براند من شركة Census Consulting Inc.
CVE-2017-0666، CVE-2017-0684 Mingjian Zhou ( @Mingjian_Zhou )، و Chi Zhang ، وXuxian Jiang من فريق C0RE
CVE-2017-0697، CVE-2017-0670 نيكي1235 ( @jiych_guru )
CVE-2017-9417 نيتاي أرتنشتاين من استخبارات الخروج
CVE-2017-0705، CVE-2017-8259 سكوت باور
CVE-2017-0667 تيموثي بيكر من شركة CSS Inc.
CVE-2017-0682، CVE-2017-0683، CVE-2017-0676، CVE-2017-0696، CVE-2017-0675، CVE-2017-0701، CVE-2017-0702، CVE-2017-0699 فاسيلي فاسيلييف
CVE-2017-0695، CVE-2017-0689، CVE-2017-0540، CVE-2017-0680، CVE-2017-0679، CVE-2017-0685، CVE-2017-0686، CVE-2017-0693، CVE- 2017-0674، CVE-2017-0677 VEO ( @VYSEa ) من فريق الاستجابة للتهديدات المتنقلة ، Trend Micro
CVE-2017-0708 Xiling Gong من قسم منصة الأمن Tencent
CVE-2017-0690 Yangkang ( @dnpushme ) وLiyadong من فريق Qihoo 360 Qex
CVE-2017-8269، CVE-2017-8271، CVE-2017-8272، CVE-2017-8267 Yonggang Guo ( @guoygang ) من IceSword Lab، Qihoo 360 Technology Co. Ltd.
CVE-2017-8264، CVE-2017-0326، CVE-2017-0709 Yuan-Tsung Lo ( computernik@gmail.com ) وXuxian Jiang من فريق C0RE
CVE-2017-0704، CVE-2017-0669 Yuxiang Li ( @Xbalien29 ) من قسم منصة Tencent Security
CVE-2017-0710 زاك ريجل ( @ebeip90 ) من فريق أمان Android
CVE-2017-0678 زينو هان من مركز الاستجابة الأمنية في تشنغدو، شركة Qihoo 360 Technology Co. Ltd.
CVE-2017-0691، CVE-2017-0700 Zinuo Han من مركز الاستجابة الأمنية Chengdu، وQihoo 360 Technology Co. Ltd. وAo Wang ( @ArayzSegment ) من فريق Pangu

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .

  • تتناول مستويات تصحيح الأمان 01-07-2017 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 01-07-2017.
  • تتناول مستويات تصحيح الأمان 05-07-2017 أو الإصدارات الأحدث كافة المشكلات المرتبطة بمستوى تصحيح الأمان 05-07-2017 وجميع مستويات التصحيح السابقة.

يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]:[2017-07-01]
  • [ro.build.version.security_patch]:[2017-07-05]

2. لماذا تحتوي هذه النشرة على مستويين من التصحيح الأمني؟

تحتوي هذه النشرة على مستويين من التصحيح الأمني ​​بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.

  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 01 يوليو 2017 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 05 يوليو 2017 أو الأحدث جميع التصحيحات القابلة للتطبيق في هذه النشرة الأمنية (والسابقة).

يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.

3. ماذا تعني الإدخالات الموجودة في عمود النوع ؟

تشير الإدخالات الموجودة في عمود النوع في جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.

اختصار تعريف
آر سي إي تنفيذ التعليمات البرمجية عن بعد
EOP ارتفاع الامتياز
بطاقة تعريف الإفصاح عن المعلومات
دوس الحرمان من الخدمة
لا يوجد التصنيف غير متوفر

4. ماذا تعني الإدخالات الموجودة في عمود "المراجع" ؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية.

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

5. ماذا تعني العلامة * الموجودة بجوار معرّف خطأ Android في عمود "المراجع" ؟

تحتوي المشكلات غير المتاحة للعامة على علامة * بجوار معرف خطأ Android في عمود المراجع . يتم تضمين التحديث الخاص بهذه المشكلة عمومًا في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

الإصدارات

إصدار تاريخ ملحوظات
1.0 5 يوليو 2017 تم نشر النشرة .
1.1 6 يوليو 2017 تمت مراجعة النشرة لتشمل روابط AOSP.
1.2 11 يوليو 2017 تمت مراجعة النشرة لتحديث الإقرارات.
1.3 17 أغسطس 2017 تمت مراجعة النشرة لتحديث الأرقام المرجعية.
1.4 19 سبتمبر 2017 الإقرارات المحدثة لـ CVE-2017-0710.
1.5 26 سبتمبر 2017 الإقرارات المحدثة لـ CVE-2017-0681.