تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية تؤثر في أجهزة Android. مستويات رمز تصحيح الأمان 2024-03-05 أو بعده يعالج كل هذه المشاكل. لمعرفة كيفية التحقق من مستوى رمز تصحيح أمان الجهاز، يمكنك الاطّلاع على التحقّق من إصدار Android وتحديثه
يتم إشعار شركاء Android بجميع المشاكل قبل شهر على الأقل من جهة النشر. تم إصدار رموز تصحيح الرموز المصدر لهذه المشاكل في برنامج Android المفتوح مستودع مشروع المصدر (AOSP) ورابطه من هذه النشرة. هذه النشرة كما تتضمن أيضًا روابط إلى رموز تصحيح خارج بروتوكول AOSP.
وأصعب هذه المشكلات هي الثغرة الأمنية الخطيرة في مكون النظام الذي قد يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد بدون الحاجة إلى امتيازات التنفيذ المطلوبة. ويستند تقييم الخطورة إلى تأثير أن يكون استغلال الثغرة الأمنية على أحد الأجهزة المصابة، بافتراض إيقاف إجراءات تخفيف أثر النظام الأساسي والخدمات بغرض التطوير أو إذا تم تجاوزها بنجاح.
يُرجى الرجوع إلى Android وGoogle Play للحماية إجراءات التخفيف للحصول على تفاصيل حول نظام الأمان الأساسي Android إجراءات الحماية و"Google Play للحماية" التي تحسِّن أمان نظام Android الأساسي.
خدمة Android وGoogle إجراءات التخفيف
في ما يلي ملخّص لإجراءات التخفيف التي يتضمنها نظام الأمان الأساسي Android ووسائل حماية الخدمة مثل Google Play للحماية: تقلل هذه الإمكانات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.
- تزداد صعوبة الاستفادة من العديد من المشاكل على Android التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع مستخدمَان للتحديث إلى آخر إصدار من Android متى أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط حالات إساءة الاستخدام من خلال Google Play حماية المستخدمين وتحذيرهم بشأن احتمال التطبيقات الضارة: يتم تفعيل خدمة "Google Play للحماية" تلقائيًا على جهازان من خلال Google الهاتف المحمول الخدمات، وهي مهمة بشكل خاص للمستخدمين الذين يثبّتون التطبيقات من خارج Google Play.
2024-03-01 تفاصيل الثغرات الأمنية على مستوى رمز تصحيح الأمان
في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى رمز التصحيح 2024-03-01. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وهي تشمل رقم تعريف CVE (معرّف CVE) المرتبطة به. المراجع ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نربط التغيير العلني الذي تناول المشكلة معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم إنشاء مراجع إضافية المرتبطة بالأرقام التي تلي معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات أمان بالإضافة إلى ذلك. تقويم تشغيل المحتوى تحديثات النظام
إطار العمل
يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تصعيد محلي من الامتياز بدون الحاجة إلى امتيازات تنفيذ إضافية.
CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
---|---|---|---|---|
CVE-2024-0046 | A-299441833 | EoP | عالٍ | 12، 12L، 13، 14 |
CVE-2024-0048 | A-316893159 | EoP | عالٍ | 12، 12L، 13، 14 |
CVE-2024-0049 | A-273936274 | EoP | عالٍ | 12، 12L، 13، 14 |
CVE-2024-0050 | A-273935108 | EoP | عالٍ | 12، 12L، 13، 14 |
CVE-2024-0051 | A-276442130 | EoP | عالٍ | 12، 12L، 13، 14 |
CVE-2024-0053 | A-281525042 | رقم التعريف | عالٍ | 12، 12L، 13، 14 |
CVE-2024-0047 | A-311687929 [2] [3] | الحرمان من الخدمات | عالٍ | 14 |
النظام
يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى وجود رمز بعيد بدون الحاجة إلى امتيازات تنفيذ إضافية.
CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
---|---|---|---|---|
CVE-2024-0039 | A-295887535 [2] [3] | RCE | حرج | 12، 12L، 13، 14 |
CVE-2024-23717 | A-318374503 | EoP | حرج | 12، 12L، 13، 14 |
CVE-2023-40081 | A-284297452 | رقم التعريف | عالٍ | 12، 12L، 13، 14 |
CVE-2024-0045 | A-300903400 | رقم التعريف | عالٍ | 12، 12L، 13، 14 |
CVE-2024-0052 | A-303871379 | رقم التعريف | عالٍ | 14 |
تحديثات نظام Google Play
لم تتم معالجة أي مشاكل أمان في تحديثات نظام Google Play. (Project Mainline) هذا الشهر.
05/03/2024 تفاصيل الثغرات الأمنية على مستوى رمز تصحيح الأمان
في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى التصحيح 2024-03-05. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وهي تشمل رقم تعريف CVE (معرّف CVE) المرتبطة به. المراجع ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نربط التغيير العلني الذي تناول المشكلة معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم إنشاء مراجع إضافية المرتبطة بالأرقام التي تلي معرّف الخطأ.
AMLogic
تؤثر الثغرات الأمنية هذه في مكونات AMLogic، ويتم نشر مزيد من التفاصيل متاحة مباشرةً من AMLogic. توفّر AMLogic تقييم لدرجة خطورة هذه المشاكل.
CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
---|---|---|---|
CVE-2023-48424 |
A-315373062 * | عالٍ | برنامج إقلاع |
CVE-2023-48425 |
A-319132171 * | عالٍ | برنامج إقلاع |
مكونات الذراع
تؤثر الثغرات الأمنية هذه في مكونات "الذراع" وتتاح لك مزيد من التفاصيل مباشرةً من Arm. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل شركة Arm.
CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
---|---|---|---|
CVE-2023-6143 |
A-316197619 * | عالٍ | مالي |
CVE-2023-6241 |
A-316206835 * | عالٍ | مالي |
مكوِّنات MediaTek
تؤثر الثغرات الأمنية هذه في مكونات MediaTek، ويتم التعامل مع المزيد من التفاصيل متوفرة مباشرةً من MediaTek تقدّم MediaTek تقييم لمدى خطورة هذه المشاكل.
CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
---|---|---|---|
CVE-2024-20005 |
A-318303317
M-ALPS08355599 * |
عالٍ | da |
CVE-2024-20022 |
A-318302377
M-ALPS08528255 * |
عالٍ | lk |
CVE-2024-20023 |
A-318302378
M-ALPS08541638 * |
عالٍ | فلاش |
CVE-2024-20024 |
A-318316114
M-ALPS08541635 * |
عالٍ | فلاش |
CVE-2024-20025 |
A-318316115
M-ALPS08541686 * |
عالٍ | da |
CVE-2024-20027 |
A-318316117
M-ALPS08541632 * |
عالٍ | da |
CVE-2024-20028 |
A-318310276
M-ALPS08541632 * |
عالٍ | da |
CVE-2024-20020 |
A-318302372
M-ALPS08522504 * |
عالٍ | أوبتي |
CVE-2024-20026 |
A-318310274
M-ALPS08541632 * |
عالٍ | da |
مكونات Qualcomm
تؤثر الثغرات الأمنية هذه في مكونات Qualcomm ويتم توضيحها في التفاصيل في نشرة الأمان أو تنبيه الأمان المناسب في Qualcomm. توفّر شركة Qualcomm تقييم درجة خطورة هذه المشاكل مباشرةً.
CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
---|---|---|---|
CVE-2023-43546 |
A-314790498
QC-CR#3602482 |
عالٍ | الأمان |
CVE-2023-43547 |
A-314791076
QC-CR#3602462 [2] |
عالٍ | الأمان |
CVE-2023-43550 |
A-314791623
QC-CR#3595842 |
عالٍ | Kernel |
CVE-2023-43552 |
A-314791054
QC-CR#3583521 |
عالٍ | شبكة WLAN |
CVE-2023-43553 |
A-314791341
QC-CR#3580821 |
عالٍ | شبكة WLAN |
مكونات Qualcomm مغلقة المصدر
تؤثر الثغرات الأمنية هذه في مكونات المصدر المغلق لشركة Qualcomm بمزيد من التفصيل في نشرة الأمان المناسبة من Qualcomm أو تنبيه أمان توفّر شركة Qualcomm تقييم درجة خطورة هذه المشاكل مباشرةً.
CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
---|---|---|---|
CVE-2023-28578 |
A-285902353 * | حرج | مكوِّن مغلق المصدر |
CVE-2023-33042 |
A-295039320 * | عالٍ | مكوِّن مغلق المصدر |
CVE-2023-33066 |
A-303101493 * | عالٍ | مكوِّن مغلق المصدر |
CVE-2023-33105 |
A-314790953 * | عالٍ | مكوِّن مغلق المصدر |
CVE-2023-43539 |
A-314791241 * | عالٍ | مكوِّن مغلق المصدر |
CVE-2023-43548 |
A-314790932 * | عالٍ | مكوِّن مغلق المصدر |
CVE-2023-43549 |
A-314791266 * | عالٍ | مكوِّن مغلق المصدر |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذا القسم. نشرة.
1. كيف يمكنني معرفة ما إذا كان جهازي محدَّثًا أم لا لمعالجة هذه المشاكل من المشاكل؟
لمعرفة كيفية التحقق من مستوى رمز تصحيح أمان الجهاز، يمكنك الاطّلاع على التحقّق من إصدار Android وتحديثه
- مستويات رموز تصحيح الأمان لشهر 2024-03-01 أو تاريخ لاحق جميع المشاكل المرتبطة بحزمة الأمان 2024-03-01 المستوى.
- مستويات رموز تصحيح الأمان للفترة من 2024/3/05 أو إلى عنوان لاحق جميع المشاكل المرتبطة بحزمة الأمان 2024-03-05 وكل مستويات التصحيح السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط سلسلة رمز التصحيح المستوى إلى:
- [ro.build.version.security_patch]:[2024-03-01]
- [ro.build.version.security_patch]:[2024-03-05]
تحديث نظام Google Play على بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث على سلسلة تاريخ تتطابق مع 01-03-2024 مستوى رمز تصحيح الأمان. يُرجى الاطّلاع على هذه المقالة للحصول على مزيد من التفاصيل حول كيفية لتثبيت تحديثات الأمان.
2. لماذا تحتوي هذه النشرة على مستويَين من رموز تصحيح الأمان؟
تحتوي هذه النشرة على مستويين من رموز تصحيح الأمان ليتمكن شركاء Android من الـ والمرونة في إصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة في جميع أجهزة Android بسرعة أكبر ننصح شركاء Android بحلّ جميع المشكلات في هذه النشرة واستخدام أحدث مستوى من حزمة تصحيح الأمان.
- الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-03-01 أن تتضمّن جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا كـ إصلاحات لجميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-03-05 أو الأحدث أن تتضمّن جميع رموز التصحيح القابلة للتطبيق في مستوى الأمان هذا (والسابق) ونشرات.
نشجّع الشركاء على جمع الحلول لكل المشاكل التي يواجهونها. معالجتها في تحديث واحد.
3. ما معنى الإدخالات في عمود النوع؟
الإدخالات في العمود النوع ضمن جدول تفاصيل الثغرة الأمنية تشير إلى تصنيف الثغرة الأمنية.
الاختصار | التعريف |
---|---|
RCE | تنفيذ الرمز عن بعد |
EoP | رفع الامتياز |
رقم التعريف | الإفصاح عن المعلومات |
الحرمان من الخدمات | الحرمان من الخدمة |
لا ينطبق | التصنيف غير متاح |
4. ما معنى الإدخالات في عمود المراجع؟
الإدخالات ضمن عمود المراجع في تفاصيل الثغرة الأمنية جدول على بادئة تحدد المؤسسة التي مرجع تنتمي القيمة.
بادئة | مَراجع |
---|---|
A- | معرّف الخطأ في Android |
QC- | الرقم المرجعي لشركة Qualcomm |
M- | الرقم المرجعي لشركة MediaTek |
N- | الرقم المرجعي لـ NVIDIA |
B- | الرقم المرجعي لشركة Broadcom |
U- | الرقم المرجعي لـ UNISOC |
5. ما تأثير علامة * بجوار معرّف خطأ Android في المراجع متوسط العمود؟
تظهر علامة * بجانب المشاكل غير المتاحة للجميع معرف المرجع. عادةً ما يتضمّن التحديث المتعلّق بهذه المشكلة أحدث برامج التشغيل الثنائية لأجهزة Pixel المتوفرة من تقويم الموقع الإلكتروني للمطوّرين.
6. لماذا تنقسم الثغرات الأمنية بين هذه النشرة نشرات أمان الجهاز أو الشريك، مثل هل هي نشرة Pixel؟
الثغرات الأمنية الموثقة في هذه النشرة الأمنية مطلوب للإعلان عن أحدث مستوى لرمز تصحيح الأمان على Android الأجهزة. هناك ثغرات أمنية إضافية تم توثيقها في نشرات أمان الجهاز أو الشريك غير مطلوبة إعلان مستوى رمز تصحيح الأمان. الشركات المصنّعة لأجهزة Android وشرائح الجمهور نشر تفاصيل الثغرات الأمنية الخاصة بمنتجاتها أو مثل Google و Huawei، LGE، Motorola، Nokia، أو Samsung.
الإصدارات
الإصدار | التاريخ | ملاحظات |
---|---|---|
1 | 4 مارس 2024 | تم نشر النشرة. |
1.1 | 29 يوليو 2024 | تم تعديل جداول CVE. |