بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. سطوح وصله امنیتی 2025-04-05 یا جدیدتر همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و بهروزرسانی نسخه Android خود مراجعه کنید.
شرکای Android حداقل یک ماه قبل از انتشار از همه مشکلات مطلع می شوند. وصلههای کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) در 48 ساعت آینده منتشر خواهند شد. ما این بولتن را با پیوندهای AOSP زمانی که در دسترس هستند، تجدید نظر خواهیم کرد.
شدیدترین این مسائل یک آسیبپذیری امنیتی حیاتی در مؤلفه System است که میتواند منجر به افزایش از راه دور امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از آسیبپذیری احتمالاً روی دستگاه آسیبدیده میگذارد، با این فرض که پلتفرم و تخفیفهای سرویس برای اهداف توسعه خاموش شدهاند یا در صورت دور زدن موفقیتآمیز انجام شوند.
برای جزئیات بیشتر در مورد حفاظت های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده های Android و Google Play Protect مراجعه کنید.
کاهش خدمات اندروید و گوگل
این خلاصهای از کاهشهای ارائه شده توسط پلتفرم امنیتی Android و محافظتهای خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.
- بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
- تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیشفرض در دستگاههای دارای سرویسهای Google Mobile فعال است و به ویژه برای کاربرانی که برنامههایی را از خارج از Google Play نصب میکنند، مهم است.
جزئیات آسیب پذیری سطح وصله امنیتی 01/04/2025
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله 01-04-2025 اعمال میشود، ارائه میکنیم. آسیبپذیریها بر اساس مؤلفهای که بر آن تأثیر میگذارند گروهبندی میشوند. مسائل در جداول زیر توضیح داده شده اند و شامل شناسه CVE، مراجع مرتبط، نوع آسیب پذیری ، شدت و نسخه های به روز شده AOSP (در صورت لزوم) می باشند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند. دستگاههای دارای Android 10 و بالاتر ممکن است بهروزرسانیهای امنیتی و همچنین بهروزرسانیهای سیستم Google Play را دریافت کنند.
چارچوب
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش محلی امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.
| CVE | مراجع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2025-22429 | الف-373357090 | شناسه | انتقادی | 13، 14، 15 |
| CVE-2025-22416 | الف-277207798 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22417 | الف-332277530 | EoP | بالا | 14، 15 |
| CVE-2025-22422 | الف-339532378 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22424 | الف-350456241 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22426 | الف-365086157 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22434 | الف-378900798 | EoP | بالا | 14، 15 |
| CVE-2025-22437 | الف-317203980 | EoP | بالا | 13 |
| CVE-2025-22438 | الف-343129193 | EoP | بالا | 13، 14 |
| CVE-2025-22442 | الف-382064697 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49722 | الف-341688848 | شناسه | بالا | 15 |
| CVE-2025-22421 | الف-338024220 | شناسه | بالا | 13، 14، 15 |
| CVE-2025-22430 | الف-374257207 | شناسه | بالا | 15 |
| CVE-2025-22431 | الف-375623125 | DoS | بالا | 13، 14، 15 |
سیستم
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش از راه دور امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.
| CVE | مراجع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | EoP | انتقادی | 13، 14، 15 |
| CVE-2025-22423 | الف-346797131 | DoS | انتقادی | 13، 14، 15 |
| CVE-2024-40653 | الف-293458004 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49720 | الف-355411348 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49730 | الف-284989074 | EoP | بالا | 13، 14 |
| CVE-2025-22418 | الف-333344157 | EoP | بالا | 13، 14 |
| CVE-2025-22419 | الف-335387175 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22427 | الف-368579654 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22428 | الف-372671447 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22432 | الف-376461726 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22433 | الف-376674080 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22435 | الف-273995284 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22439 | الف-352294617 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49728 | الف-296915500 | شناسه | بالا | 13، 14، 15 |
به روز رسانی سیستم گوگل پلی
مسائل زیر در اجزای Project Mainline گنجانده شده است.
| جزء فرعی | CVE |
|---|---|
| رابط کاربری اسناد | CVE-2025-22439 |
| MediaProvider | CVE-2024-49730 |
| کنترل کننده مجوز | CVE-2024-49720 |
جزئیات آسیب پذیری سطح وصله امنیتی 05/04/2025
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله ۰۵-۰۴-۲۰۲۵ اعمال میشوند، ارائه میکنیم. آسیبپذیریها بر اساس مؤلفهای که بر آن تأثیر میگذارند گروهبندی میشوند. مسائل در جداول زیر توضیح داده شده اند و شامل شناسه CVE، مراجع مرتبط، نوع آسیب پذیری ، شدت و نسخه های به روز شده AOSP (در صورت لزوم) می باشند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
هسته
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش محلی امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.
| CVE | مراجع | تایپ کنید | شدت | جزء فرعی |
|---|---|---|---|---|
| CVE-2024-50264 | الف-378870958 هسته بالادست | EoP | بالا | خالص |
| CVE-2024-53197 | الف-382243530 هسته بالادست [ 2 ] | EoP | بالا | USB |
| CVE-2024-56556 | A-380855429 هسته بالادست [ 2 ] | EoP | بالا | کلاسور |
| CVE-2024-53150 | الف-382239029 هسته بالادست [ 2 ] | شناسه | بالا | USB |
اجزای بازو
این آسیب پذیری بر اجزای Arm تأثیر می گذارد و جزئیات بیشتر به طور مستقیم از Arm در دسترس است. ارزیابی شدت این موضوع به طور مستقیم توسط Arm ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2025-0050 | A-384996147 * | بالا | مالی |
فن آوری های تخیل
این آسیبپذیریها بر اجزای Imagination Technologies تأثیر میگذارند و جزئیات بیشتر مستقیماً از Imagination Technologies در دسترس هستند. ارزیابی شدت این مسائل به طور مستقیم توسط Imagination Technologies ارائه می شود.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-43702 | A-363071287 * | بالا | PowerVR-GPU |
| CVE-2024-43703 | A-366410795 * | بالا | PowerVR-GPU |
| CVE-2024-46972 | A-374964509 * | بالا | PowerVR-GPU |
| CVE-2024-47897 | A-381272263 * | بالا | PowerVR-GPU |
| CVE-2024-52936 | A-380302155 * | بالا | PowerVR-GPU |
| CVE-2024-52937 | A-381273105 * | بالا | PowerVR-GPU |
| CVE-2024-52938 | A-380397760 * | بالا | PowerVR-GPU |
| CVE-2024-47894 | A-382770071 * | بالا | PowerVR-GPU |
| CVE-2024-47895 | A-380296167 * | بالا | PowerVR-GPU |
اجزای مدیاتک
این آسیبپذیریها بر اجزای MediaTek تأثیر میگذارند و جزئیات بیشتر مستقیماً از MediaTek در دسترس است. ارزیابی شدت این مسائل به طور مستقیم توسط مدیاتک ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2025-20656 | الف-393950961 M-ALPS09625423 * | بالا | DA |
| CVE-2025-20657 | الف-393950963 M-ALPS09486425 * | بالا | vdec |
| CVE-2025-20658 | الف-393950964 M-ALPS09474894 * | بالا | DA |
| CVE-2025-20655 | الف-393950958 M-DTV04427687 * | بالا | کی مستر |
قطعات کوالکام
این آسیبپذیریها بر اجزای کوالکام تأثیر میگذارند و با جزئیات بیشتر در بولتن امنیتی یا هشدار امنیتی کوالکام توضیح داده شدهاند. ارزیابی شدت این مسائل به طور مستقیم توسط کوالکام ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-43066 | الف-372003347 QC-CR#3731804 | بالا | بوت لودر |
| CVE-2024-49848 | الف-388048362 QC-CR#3908517 | بالا | هسته |
| CVE-2025-21429 | الف-388048166 QC-CR#3960857 [ 2 ] | بالا | WLAN |
| CVE-2025-21430 | الف-388047866 QC-CR#3910625 [ 2 ] | بالا | WLAN |
| CVE-2025-21434 | الف-388048345 QC-CR#3918068 | بالا | WLAN |
| CVE-2025-21435 | الف-388047607 QC-CR#3924648 | بالا | WLAN |
| CVE-2025-21436 | الف-388048322 QC-CR#3927062 | بالا | هسته |
اجزای منبع بسته کوالکام
این آسیبپذیریها بر اجزای منبع بسته کوالکام تأثیر میگذارند و در بولتن امنیتی یا هشدار امنیتی مناسب کوالکام با جزئیات بیشتر توضیح داده شدهاند. ارزیابی شدت این مسائل به طور مستقیم توسط کوالکام ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-45551 | A-372002538 * | انتقادی | جزء منبع بسته |
| CVE-2024-33058 | A-372002796 * | بالا | جزء منبع بسته |
| CVE-2024-43065 | A-372003122 * | بالا | جزء منبع بسته |
| CVE-2024-45549 | A-372002818 * | بالا | جزء منبع بسته |
| CVE-2024-45552 | A-372003503 * | بالا | جزء منبع بسته |
| CVE-2025-21448 | A-388048021 * | بالا | جزء منبع بسته |
پرسش و پاسخ متداول
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و بهروزرسانی نسخه Android خود مراجعه کنید.
- سطوح وصله امنیتی 2025-04-01 یا جدیدتر تمام مسائل مرتبط با سطح وصله امنیتی 2025-04-01 را برطرف می کند.
- سطوح وصله امنیتی 2025-04-05 یا جدیدتر، تمام مسائل مرتبط با سطح وصله امنیتی 2025-04-05 و تمام سطوح وصله قبلی را برطرف می کند.
سازندگان دستگاههایی که شامل این بهروزرسانیها میشوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:
- [ro.build.version.security_patch]:[01-04-2025]
- [ro.build.version.security_patch]:[05-04-2025]
برای برخی از دستگاههای اندروید 10 یا جدیدتر، بهروزرسانی سیستم Google Play دارای یک رشته تاریخی است که با سطح وصله امنیتی 01-04-2025 مطابقت دارد. لطفاً برای جزئیات بیشتر در مورد نحوه نصب بهروزرسانیهای امنیتی، این مقاله را ببینید.
2. چرا این بولتن دارای دو سطح وصله امنیتی است؟
این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.
- دستگاههایی که از سطح وصله امنیتی 01-04-2025 استفاده میکنند باید شامل تمام مشکلات مرتبط با آن سطح وصله امنیتی و همچنین رفع تمام مشکلات گزارششده در بولتنهای امنیتی قبلی باشند.
- دستگاههایی که از سطح وصله امنیتی 2025-04-05 یا جدیدتر استفاده میکنند، باید همه وصلههای قابلاجرا در این (و قبلی) بولتنهای امنیتی را شامل شوند.
شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.
3. ورودی های ستون Type به چه معناست؟
ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.
| مخفف | تعریف |
|---|---|
| RCE | اجرای کد از راه دور |
| EoP | بالا بردن امتیاز |
| شناسه | افشای اطلاعات |
| DoS | انکار خدمات |
| N/A | طبقه بندی در دسترس نیست |
4. ورودی های ستون References به چه معناست؟
ورودیهای زیر ستون مراجع جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | مرجع |
|---|---|
| الف- | شناسه باگ اندروید |
| QC- | شماره مرجع کوالکام |
| M- | شماره مرجع مدیاتک |
| N- | شماره مرجع NVIDIA |
| ب- | شماره مرجع Broadcom |
| U- | شماره مرجع UNISOC |
5. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟
مسائلی که به صورت عمومی در دسترس نیستند دارای علامت * در کنار شناسه مرجع مربوطه هستند. بهروزرسانی برای آن مشکل عموماً در آخرین درایورهای باینری دستگاههای Pixel موجود در سایت Google Developer موجود است.
6. چرا آسیبپذیریهای امنیتی بین این بولتن و بولتنهای امنیتی دستگاه/شریک، مانند بولتن Pixel تقسیم میشوند؟
آسیبپذیریهای امنیتی که در این بولتن امنیتی مستند شدهاند برای اعلام آخرین سطح وصله امنیتی در دستگاههای اندرویدی مورد نیاز هستند. آسیبپذیریهای امنیتی اضافی که در بولتنهای امنیتی دستگاه/شریک مستند شدهاند، برای اعلام سطح وصله امنیتی لازم نیست. سازندگان دستگاهها و چیپستهای Android نیز ممکن است جزئیات آسیبپذیری امنیتی خاص محصولات خود را منتشر کنند، مانند Google ، Huawei ، LGE ، Motorola ، Nokia یا Samsung .
نسخه ها
| نسخه | تاریخ | یادداشت ها |
|---|---|---|
| 1.0 | 7 آوریل 2025 | بولتن منتشر شد |
بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. سطوح وصله امنیتی 2025-04-05 یا جدیدتر همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و بهروزرسانی نسخه Android خود مراجعه کنید.
شرکای Android حداقل یک ماه قبل از انتشار از همه مشکلات مطلع می شوند. وصلههای کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) در 48 ساعت آینده منتشر خواهند شد. ما این بولتن را با پیوندهای AOSP زمانی که در دسترس هستند، تجدید نظر خواهیم کرد.
شدیدترین این مسائل یک آسیبپذیری امنیتی حیاتی در مؤلفه System است که میتواند منجر به افزایش از راه دور امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از آسیبپذیری احتمالاً روی دستگاه آسیبدیده میگذارد، با این فرض که پلتفرم و تخفیفهای سرویس برای اهداف توسعه خاموش شدهاند یا در صورت دور زدن موفقیتآمیز انجام شوند.
برای جزئیات بیشتر در مورد حفاظت های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده های Android و Google Play Protect مراجعه کنید.
کاهش خدمات اندروید و گوگل
این خلاصهای از کاهشهای ارائه شده توسط پلتفرم امنیتی Android و محافظتهای خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.
- بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
- تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیشفرض در دستگاههای دارای سرویسهای Google Mobile فعال است و به ویژه برای کاربرانی که برنامههایی را از خارج از Google Play نصب میکنند، مهم است.
جزئیات آسیب پذیری سطح وصله امنیتی 01/04/2025
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله 01-04-2025 اعمال میشود، ارائه میکنیم. آسیبپذیریها بر اساس مؤلفهای که بر آن تأثیر میگذارند گروهبندی میشوند. مسائل در جداول زیر توضیح داده شده اند و شامل شناسه CVE، مراجع مرتبط، نوع آسیب پذیری ، شدت و نسخه های به روز شده AOSP (در صورت لزوم) می باشند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند. دستگاههای دارای Android 10 و بالاتر ممکن است بهروزرسانیهای امنیتی و همچنین بهروزرسانیهای سیستم Google Play را دریافت کنند.
چارچوب
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش محلی امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.
| CVE | مراجع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2025-22429 | الف-373357090 | شناسه | انتقادی | 13، 14، 15 |
| CVE-2025-22416 | الف-277207798 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22417 | الف-332277530 | EoP | بالا | 14، 15 |
| CVE-2025-22422 | الف-339532378 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22424 | الف-350456241 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22426 | الف-365086157 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22434 | الف-378900798 | EoP | بالا | 14، 15 |
| CVE-2025-22437 | الف-317203980 | EoP | بالا | 13 |
| CVE-2025-22438 | الف-343129193 | EoP | بالا | 13، 14 |
| CVE-2025-22442 | الف-382064697 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49722 | الف-341688848 | شناسه | بالا | 15 |
| CVE-2025-22421 | الف-338024220 | شناسه | بالا | 13، 14، 15 |
| CVE-2025-22430 | الف-374257207 | شناسه | بالا | 15 |
| CVE-2025-22431 | الف-375623125 | DoS | بالا | 13، 14، 15 |
سیستم
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش از راه دور امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.
| CVE | مراجع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | EoP | انتقادی | 13، 14، 15 |
| CVE-2025-22423 | الف-346797131 | DoS | انتقادی | 13، 14، 15 |
| CVE-2024-40653 | الف-293458004 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49720 | الف-355411348 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49730 | الف-284989074 | EoP | بالا | 13، 14 |
| CVE-2025-22418 | الف-333344157 | EoP | بالا | 13، 14 |
| CVE-2025-22419 | الف-335387175 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22427 | الف-368579654 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22428 | الف-372671447 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22432 | الف-376461726 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22433 | الف-376674080 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22435 | الف-273995284 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22439 | الف-352294617 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49728 | الف-296915500 | شناسه | بالا | 13، 14، 15 |
به روز رسانی سیستم گوگل پلی
مسائل زیر در اجزای Project Mainline گنجانده شده است.
| جزء فرعی | CVE |
|---|---|
| رابط کاربری اسناد | CVE-2025-22439 |
| MediaProvider | CVE-2024-49730 |
| کنترل کننده مجوز | CVE-2024-49720 |
جزئیات آسیب پذیری سطح وصله امنیتی 05/04/2025
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله ۰۵-۰۴-۲۰۲۵ اعمال میشوند، ارائه میکنیم. آسیبپذیریها بر اساس مؤلفهای که بر آن تأثیر میگذارند گروهبندی میشوند. مسائل در جداول زیر توضیح داده شده اند و شامل شناسه CVE، مراجع مرتبط، نوع آسیب پذیری ، شدت و نسخه های به روز شده AOSP (در صورت لزوم) می باشند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
هسته
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش محلی امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.
| CVE | مراجع | تایپ کنید | شدت | جزء فرعی |
|---|---|---|---|---|
| CVE-2024-50264 | الف-378870958 هسته بالادست | EoP | بالا | خالص |
| CVE-2024-53197 | الف-382243530 هسته بالادست [ 2 ] | EoP | بالا | USB |
| CVE-2024-56556 | A-380855429 هسته بالادست [ 2 ] | EoP | بالا | کلاسور |
| CVE-2024-53150 | الف-382239029 هسته بالادست [ 2 ] | شناسه | بالا | USB |
اجزای بازو
این آسیب پذیری بر اجزای Arm تأثیر می گذارد و جزئیات بیشتر به طور مستقیم از Arm در دسترس است. ارزیابی شدت این موضوع به طور مستقیم توسط Arm ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2025-0050 | A-384996147 * | بالا | مالی |
فن آوری های تخیل
این آسیبپذیریها بر اجزای Imagination Technologies تأثیر میگذارند و جزئیات بیشتر مستقیماً از Imagination Technologies در دسترس هستند. ارزیابی شدت این مسائل به طور مستقیم توسط Imagination Technologies ارائه می شود.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-43702 | A-363071287 * | بالا | PowerVR-GPU |
| CVE-2024-43703 | A-366410795 * | بالا | PowerVR-GPU |
| CVE-2024-46972 | A-374964509 * | بالا | PowerVR-GPU |
| CVE-2024-47897 | A-381272263 * | بالا | PowerVR-GPU |
| CVE-2024-52936 | A-380302155 * | بالا | PowerVR-GPU |
| CVE-2024-52937 | A-381273105 * | بالا | PowerVR-GPU |
| CVE-2024-52938 | A-380397760 * | بالا | PowerVR-GPU |
| CVE-2024-47894 | A-382770071 * | بالا | PowerVR-GPU |
| CVE-2024-47895 | A-380296167 * | بالا | PowerVR-GPU |
اجزای مدیاتک
این آسیبپذیریها بر اجزای MediaTek تأثیر میگذارند و جزئیات بیشتر مستقیماً از MediaTek در دسترس است. ارزیابی شدت این مسائل به طور مستقیم توسط مدیاتک ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2025-20656 | الف-393950961 M-ALPS09625423 * | بالا | DA |
| CVE-2025-20657 | الف-393950963 M-ALPS09486425 * | بالا | vdec |
| CVE-2025-20658 | الف-393950964 M-ALPS09474894 * | بالا | DA |
| CVE-2025-20655 | الف-393950958 M-DTV04427687 * | بالا | کی مستر |
قطعات کوالکام
این آسیبپذیریها بر اجزای کوالکام تأثیر میگذارند و با جزئیات بیشتر در بولتن امنیتی یا هشدار امنیتی کوالکام توضیح داده شدهاند. ارزیابی شدت این مسائل به طور مستقیم توسط کوالکام ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-43066 | الف-372003347 QC-CR#3731804 | بالا | بوت لودر |
| CVE-2024-49848 | الف-388048362 QC-CR#3908517 | بالا | هسته |
| CVE-2025-21429 | الف-388048166 QC-CR#3960857 [ 2 ] | بالا | WLAN |
| CVE-2025-21430 | الف-388047866 QC-CR#3910625 [ 2 ] | بالا | WLAN |
| CVE-2025-21434 | الف-388048345 QC-CR#3918068 | بالا | WLAN |
| CVE-2025-21435 | الف-388047607 QC-CR#3924648 | بالا | WLAN |
| CVE-2025-21436 | الف-388048322 QC-CR#3927062 | بالا | هسته |
اجزای منبع بسته کوالکام
این آسیبپذیریها بر اجزای منبع بسته کوالکام تأثیر میگذارند و در بولتن امنیتی یا هشدار امنیتی مناسب کوالکام با جزئیات بیشتر توضیح داده شدهاند. ارزیابی شدت این مسائل به طور مستقیم توسط کوالکام ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-45551 | A-372002538 * | انتقادی | جزء منبع بسته |
| CVE-2024-33058 | A-372002796 * | بالا | جزء منبع بسته |
| CVE-2024-43065 | A-372003122 * | بالا | جزء منبع بسته |
| CVE-2024-45549 | A-372002818 * | بالا | جزء منبع بسته |
| CVE-2024-45552 | A-372003503 * | بالا | جزء منبع بسته |
| CVE-2025-21448 | A-388048021 * | بالا | جزء منبع بسته |
پرسش و پاسخ متداول
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و بهروزرسانی نسخه Android خود مراجعه کنید.
- سطوح وصله امنیتی 2025-04-01 یا جدیدتر تمام مسائل مرتبط با سطح وصله امنیتی 2025-04-01 را برطرف می کند.
- سطوح وصله امنیتی 2025-04-05 یا جدیدتر، تمام مسائل مرتبط با سطح وصله امنیتی 2025-04-05 و تمام سطوح وصله قبلی را برطرف می کند.
سازندگان دستگاههایی که شامل این بهروزرسانیها میشوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:
- [ro.build.version.security_patch]:[01-04-2025]
- [ro.build.version.security_patch]:[05-04-2025]
برای برخی از دستگاههای اندروید 10 یا جدیدتر، بهروزرسانی سیستم Google Play دارای یک رشته تاریخی است که با سطح وصله امنیتی 01-04-2025 مطابقت دارد. لطفاً برای جزئیات بیشتر در مورد نحوه نصب بهروزرسانیهای امنیتی، این مقاله را ببینید.
2. چرا این بولتن دارای دو سطح وصله امنیتی است؟
این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.
- دستگاههایی که از سطح وصله امنیتی 01-04-2025 استفاده میکنند باید شامل تمام مشکلات مرتبط با آن سطح وصله امنیتی و همچنین رفع تمام مشکلات گزارششده در بولتنهای امنیتی قبلی باشند.
- دستگاههایی که از سطح وصله امنیتی 2025-04-05 یا جدیدتر استفاده میکنند، باید همه وصلههای قابلاجرا در این (و قبلی) بولتنهای امنیتی را شامل شوند.
شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.
3. ورودی های ستون Type به چه معناست؟
ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.
| مخفف | تعریف |
|---|---|
| RCE | اجرای کد از راه دور |
| EoP | بالا بردن امتیاز |
| شناسه | افشای اطلاعات |
| DoS | انکار خدمات |
| N/A | طبقه بندی در دسترس نیست |
4. ورودی های ستون References به چه معناست؟
ورودیهای زیر ستون مراجع جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | مرجع |
|---|---|
| الف- | شناسه باگ اندروید |
| QC- | شماره مرجع کوالکام |
| M- | شماره مرجع مدیاتک |
| N- | شماره مرجع NVIDIA |
| ب- | شماره مرجع Broadcom |
| U- | شماره مرجع UNISOC |
5. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟
مسائلی که به صورت عمومی در دسترس نیستند دارای علامت * در کنار شناسه مرجع مربوطه هستند. بهروزرسانی برای آن مشکل عموماً در آخرین درایورهای باینری دستگاههای Pixel موجود در سایت Google Developer موجود است.
6. چرا آسیبپذیریهای امنیتی بین این بولتن و بولتنهای امنیتی دستگاه/شریک، مانند بولتن Pixel تقسیم میشوند؟
آسیبپذیریهای امنیتی که در این بولتن امنیتی مستند شدهاند برای اعلام آخرین سطح وصله امنیتی در دستگاههای اندرویدی مورد نیاز هستند. آسیبپذیریهای امنیتی اضافی که در بولتنهای امنیتی دستگاه/شریک مستند شدهاند، برای اعلام سطح وصله امنیتی لازم نیست. سازندگان دستگاهها و چیپستهای Android نیز ممکن است جزئیات آسیبپذیری امنیتی خاص محصولات خود را منتشر کنند، مانند Google ، Huawei ، LGE ، Motorola ، Nokia یا Samsung .
نسخه ها
| نسخه | تاریخ | یادداشت ها |
|---|---|---|
| 1.0 | 7 آوریل 2025 | بولتن منتشر شد |
بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. سطوح وصله امنیتی 2025-04-05 یا جدیدتر همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و بهروزرسانی نسخه Android خود مراجعه کنید.
شرکای Android حداقل یک ماه قبل از انتشار از همه مشکلات مطلع می شوند. وصلههای کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) در 48 ساعت آینده منتشر خواهند شد. ما این بولتن را با پیوندهای AOSP زمانی که در دسترس هستند، تجدید نظر خواهیم کرد.
شدیدترین این مسائل یک آسیبپذیری امنیتی حیاتی در مؤلفه System است که میتواند منجر به افزایش از راه دور امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از آسیبپذیری احتمالاً روی دستگاه آسیبدیده میگذارد، با این فرض که پلتفرم و تخفیفهای سرویس برای اهداف توسعه خاموش شدهاند یا در صورت دور زدن موفقیتآمیز انجام شوند.
برای جزئیات بیشتر در مورد حفاظت های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده های Android و Google Play Protect مراجعه کنید.
کاهش خدمات اندروید و گوگل
این خلاصهای از کاهشهای ارائه شده توسط پلتفرم امنیتی Android و محافظتهای خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.
- بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
- تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیشفرض در دستگاههای دارای سرویسهای Google Mobile فعال است و به ویژه برای کاربرانی که برنامههایی را از خارج از Google Play نصب میکنند، مهم است.
جزئیات آسیب پذیری سطح وصله امنیتی 01/04/2025
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله 01-04-2025 اعمال میشود، ارائه میکنیم. آسیبپذیریها بر اساس مؤلفهای که بر آن تأثیر میگذارند گروهبندی میشوند. مسائل در جداول زیر توضیح داده شده اند و شامل شناسه CVE، مراجع مرتبط، نوع آسیب پذیری ، شدت و نسخه های به روز شده AOSP (در صورت لزوم) می باشند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند. دستگاههای دارای Android 10 و بالاتر ممکن است بهروزرسانیهای امنیتی و همچنین بهروزرسانیهای سیستم Google Play را دریافت کنند.
چارچوب
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش محلی امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.
| CVE | مراجع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2025-22429 | الف-373357090 | شناسه | انتقادی | 13، 14، 15 |
| CVE-2025-22416 | الف-277207798 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22417 | الف-332277530 | EoP | بالا | 14، 15 |
| CVE-2025-22422 | الف-339532378 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22424 | الف-350456241 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22426 | الف-365086157 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22434 | الف-378900798 | EoP | بالا | 14، 15 |
| CVE-2025-22437 | الف-317203980 | EoP | بالا | 13 |
| CVE-2025-22438 | الف-343129193 | EoP | بالا | 13، 14 |
| CVE-2025-22442 | الف-382064697 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49722 | الف-341688848 | شناسه | بالا | 15 |
| CVE-2025-22421 | الف-338024220 | شناسه | بالا | 13، 14، 15 |
| CVE-2025-22430 | الف-374257207 | شناسه | بالا | 15 |
| CVE-2025-22431 | الف-375623125 | DoS | بالا | 13، 14، 15 |
سیستم
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش از راه دور امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.
| CVE | مراجع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | EoP | انتقادی | 13، 14، 15 |
| CVE-2025-22423 | الف-346797131 | DoS | انتقادی | 13، 14، 15 |
| CVE-2024-40653 | الف-293458004 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49720 | الف-355411348 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49730 | الف-284989074 | EoP | بالا | 13، 14 |
| CVE-2025-22418 | الف-333344157 | EoP | بالا | 13، 14 |
| CVE-2025-22419 | الف-335387175 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22427 | الف-368579654 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22428 | الف-372671447 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22432 | الف-376461726 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22433 | الف-376674080 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22435 | الف-273995284 | EoP | بالا | 13، 14، 15 |
| CVE-2025-22439 | الف-352294617 | EoP | بالا | 13، 14، 15 |
| CVE-2024-49728 | الف-296915500 | شناسه | بالا | 13، 14، 15 |
به روز رسانی سیستم گوگل پلی
مسائل زیر در اجزای Project Mainline گنجانده شده است.
| جزء فرعی | CVE |
|---|---|
| رابط کاربری اسناد | CVE-2025-22439 |
| MediaProvider | CVE-2024-49730 |
| کنترل کننده مجوز | CVE-2024-49720 |
جزئیات آسیب پذیری سطح وصله امنیتی 05/04/2025
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله ۰۵-۰۴-۲۰۲۵ اعمال میشوند، ارائه میکنیم. آسیبپذیریها بر اساس مؤلفهای که بر آن تأثیر میگذارند گروهبندی میشوند. مسائل در جداول زیر توضیح داده شده اند و شامل شناسه CVE، مراجع مرتبط، نوع آسیب پذیری ، شدت و نسخه های به روز شده AOSP (در صورت لزوم) می باشند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
هسته
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش محلی امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.
| CVE | مراجع | تایپ کنید | شدت | جزء فرعی |
|---|---|---|---|---|
| CVE-2024-50264 | الف-378870958 هسته بالادست | EoP | بالا | خالص |
| CVE-2024-53197 | الف-382243530 هسته بالادست [ 2 ] | EoP | بالا | USB |
| CVE-2024-56556 | A-380855429 هسته بالادست [ 2 ] | EoP | بالا | کلاسور |
| CVE-2024-53150 | الف-382239029 هسته بالادست [ 2 ] | شناسه | بالا | USB |
اجزای بازو
این آسیب پذیری بر اجزای Arm تأثیر می گذارد و جزئیات بیشتر به طور مستقیم از Arm در دسترس است. ارزیابی شدت این موضوع به طور مستقیم توسط Arm ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2025-0050 | A-384996147 * | بالا | مالی |
فن آوری های تخیل
این آسیبپذیریها بر اجزای Imagination Technologies تأثیر میگذارند و جزئیات بیشتر مستقیماً از Imagination Technologies در دسترس هستند. ارزیابی شدت این مسائل به طور مستقیم توسط Imagination Technologies ارائه می شود.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-43702 | A-363071287 * | بالا | PowerVR-GPU |
| CVE-2024-43703 | A-366410795 * | بالا | PowerVR-GPU |
| CVE-2024-46972 | A-374964509 * | بالا | PowerVR-GPU |
| CVE-2024-47897 | A-381272263 * | بالا | PowerVR-GPU |
| CVE-2024-52936 | A-380302155 * | بالا | PowerVR-GPU |
| CVE-2024-52937 | A-381273105 * | بالا | PowerVR-GPU |
| CVE-2024-52938 | A-380397760 * | بالا | PowerVR-GPU |
| CVE-2024-47894 | A-382770071 * | بالا | PowerVR-GPU |
| CVE-2024-47895 | A-380296167 * | بالا | PowerVR-GPU |
اجزای مدیاتک
این آسیبپذیریها بر اجزای MediaTek تأثیر میگذارند و جزئیات بیشتر مستقیماً از MediaTek در دسترس است. ارزیابی شدت این مسائل به طور مستقیم توسط مدیاتک ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2025-20656 | الف-393950961 M-ALPS09625423 * | بالا | DA |
| CVE-2025-20657 | الف-393950963 M-ALPS09486425 * | بالا | vdec |
| CVE-2025-20658 | الف-393950964 M-ALPS09474894 * | بالا | DA |
| CVE-2025-20655 | الف-393950958 M-DTV04427687 * | بالا | کی مستر |
قطعات کوالکام
این آسیبپذیریها بر اجزای کوالکام تأثیر میگذارند و با جزئیات بیشتر در بولتن امنیتی یا هشدار امنیتی کوالکام توضیح داده شدهاند. ارزیابی شدت این مسائل به طور مستقیم توسط کوالکام ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-43066 | الف-372003347 QC-CR#3731804 | بالا | بوت لودر |
| CVE-2024-49848 | الف-388048362 QC-CR#3908517 | بالا | هسته |
| CVE-2025-21429 | الف-388048166 QC-CR#3960857 [ 2 ] | بالا | WLAN |
| CVE-2025-21430 | الف-388047866 QC-CR#3910625 [ 2 ] | بالا | WLAN |
| CVE-2025-21434 | الف-388048345 QC-CR#3918068 | بالا | WLAN |
| CVE-2025-21435 | الف-388047607 QC-CR#3924648 | بالا | WLAN |
| CVE-2025-21436 | الف-388048322 QC-CR#3927062 | بالا | هسته |
اجزای منبع بسته کوالکام
این آسیبپذیریها بر اجزای منبع بسته کوالکام تأثیر میگذارند و در بولتن امنیتی یا هشدار امنیتی مناسب کوالکام با جزئیات بیشتر توضیح داده شدهاند. ارزیابی شدت این مسائل به طور مستقیم توسط کوالکام ارائه شده است.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-45551 | A-372002538 * | انتقادی | جزء منبع بسته |
| CVE-2024-33058 | A-372002796 * | بالا | جزء منبع بسته |
| CVE-2024-43065 | A-372003122 * | بالا | جزء منبع بسته |
| CVE-2024-45549 | A-372002818 * | بالا | جزء منبع بسته |
| CVE-2024-45552 | A-372003503 * | بالا | جزء منبع بسته |
| CVE-2025-21448 | A-388048021 * | بالا | جزء منبع بسته |
پرسش و پاسخ متداول
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و بهروزرسانی نسخه Android خود مراجعه کنید.
- سطوح وصله امنیتی 2025-04-01 یا جدیدتر تمام مسائل مرتبط با سطح وصله امنیتی 2025-04-01 را برطرف می کند.
- سطوح وصله امنیتی 2025-04-05 یا جدیدتر، تمام مسائل مرتبط با سطح وصله امنیتی 2025-04-05 و تمام سطوح وصله قبلی را برطرف می کند.
سازندگان دستگاههایی که شامل این بهروزرسانیها میشوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:
- [ro.build.version.security_patch]:[01-04-2025]
- [ro.build.version.security_patch]:[05-04-2025]
برای برخی از دستگاههای اندروید 10 یا جدیدتر، بهروزرسانی سیستم Google Play دارای یک رشته تاریخی است که با سطح وصله امنیتی 01-04-2025 مطابقت دارد. لطفاً برای جزئیات بیشتر در مورد نحوه نصب بهروزرسانیهای امنیتی، این مقاله را ببینید.
2. چرا این بولتن دارای دو سطح وصله امنیتی است؟
این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.
- دستگاههایی که از سطح وصله امنیتی 01-04-2025 استفاده میکنند باید شامل تمام مشکلات مرتبط با آن سطح وصله امنیتی و همچنین رفع تمام مشکلات گزارششده در بولتنهای امنیتی قبلی باشند.
- دستگاههایی که از سطح وصله امنیتی 2025-04-05 یا جدیدتر استفاده میکنند، باید همه وصلههای قابلاجرا در این (و قبلی) بولتنهای امنیتی را شامل شوند.
شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.
3. ورودی های ستون Type به چه معناست؟
ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.
| مخفف | تعریف |
|---|---|
| RCE | اجرای کد از راه دور |
| EoP | بالا بردن امتیاز |
| شناسه | افشای اطلاعات |
| DoS | انکار خدمات |
| N/A | طبقه بندی در دسترس نیست |
4. ورودی های موجود در ستون منابع چیست؟
ورودی های زیر ستون منابع جدول جزئیات آسیب پذیری ممکن است حاوی پیشوند سازمانی باشد که مقدار مرجع به آن تعلق دارد.
| پیشوند | مرجع |
|---|---|
| الف- | شناسه اشکال اندرویدی |
| qc- | شماره مرجع Qualcomm |
| M- | شماره مرجع MediaTek |
| N- | شماره مرجع nvidia |
| ب- | شماره مرجع Broadcom |
| U- | شماره مرجع UNISOC |
5. * در کنار شناسه اشکال اندرویدی در ستون منابع چیست؟
موضوعاتی که در دسترس عموم نیستند ، * در کنار شناسه مرجع مربوطه است. به روزرسانی این مسئله به طور کلی در آخرین درایورهای باینری برای دستگاه های پیکسل موجود از سایت Google Developer موجود است.
6. چرا آسیب پذیری های امنیتی بین این بولتن و بولتن های امنیتی دستگاه / شریک مانند بولتن پیکسل تقسیم می شود؟
آسیب پذیری های امنیتی که در این بولتن امنیتی مستند شده اند ، موظفند آخرین سطح پچ امنیتی را در دستگاه های Android اعلام کنند. آسیب پذیری های امنیتی اضافی که در بولتن های امنیتی دستگاه / شریک ثبت شده است ، برای اعلام سطح پچ امنیتی لازم نیست. تولید کنندگان دستگاه Android و چیپست همچنین ممکن است جزئیات آسیب پذیری امنیتی را خاص برای محصولات خود مانند Google ، Huawei ، LGE ، Motorola ، Nokia یا Samsung منتشر کنند.
نسخه ها
| نسخه | تاریخ | یادداشت ها |
|---|---|---|
| 1.0 | 7 آوریل 2025 | بولتن منتشر شد |
بولتن امنیت Android شامل جزئیات آسیب پذیری های امنیتی مؤثر بر دستگاه های اندرویدی است. سطح پچ امنیتی 2025-04-05 یا بعد از آن به همه این موارد می پردازد. برای یادگیری نحوه بررسی سطح پچ امنیتی دستگاه ، به بررسی و به روزرسانی نسخه Android خود مراجعه کنید.
شرکای اندرویدی حداقل یک ماه قبل از انتشار از کلیه مسائل مطلع می شوند. تکه های کد منبع برای این موارد در 48 ساعت آینده به مخزن پروژه منبع باز اندروید (AOSP) منتشر می شود. ما این بولتن را با پیوندهای AOSP در صورت وجود تجدید نظر خواهیم کرد.
شدیدترین این موضوعات ، آسیب پذیری امنیتی مهم در مؤلفه سیستم است که می تواند منجر به تشدید امتیاز از دور از امتیازات شود و هیچ امتیاز اضافی در اجرای آن لازم نیست. تعامل کاربر برای بهره برداری مورد نیاز نیست. ارزیابی شدت مبتنی بر تأثیراتی است که بهره برداری از آسیب پذیری ممکن است بر روی یک دستگاه آسیب دیده داشته باشد ، با فرض اینکه پلت فرم و کاهش خدمات برای اهداف توسعه خاموش می شوند یا در صورت دور زدن موفقیت آمیز.
برای جزئیات بیشتر در مورد حفاظت از بستر های امنیتی Android و Google Play Protect ، که امنیت پلت فرم Android را بهبود می بخشد ، به بخش Android و Google Play Protect Protection مراجعه کنید.
کاهش Android و Google Service
این خلاصه ای از کاهش ارائه شده توسط پلت فرم امنیت Android و محافظت از خدمات مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده از آسیب پذیری های امنیتی را با موفقیت در Android کاهش می دهد.
- بهره برداری برای بسیاری از موارد در مورد اندروید با پیشرفت در نسخه های جدیدتر از پلت فرم Android دشوارتر می شود. ما همه کاربران را ترغیب می کنیم تا در صورت امکان آخرین نسخه Android را به روز کنند.
- تیم امنیتی Android به طور فعال از طریق Google Play Protect و کاربران را در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیش فرض در دستگاه هایی با Google Mobile Services فعال می شود و برای کاربرانی که برنامه هایی را از خارج از Google Play نصب می کنند بسیار مهم است.
2025-04-01 جزئیات آسیب پذیری سطح پچ امنیتی
در بخش های زیر ، ما جزئیات مربوط به هر یک از آسیب پذیری های امنیتی را که در سطح پچ 2025-04-01 اعمال می شود ، ارائه می دهیم. آسیب پذیری ها تحت مؤلفه ای که بر آنها تأثیر می گذارد ، گروه بندی می شوند. موضوعات در جداول زیر شرح داده شده است و شامل شناسه CVE ، منابع مرتبط ، نوع آسیب پذیری ، شدت و نسخه های AOSP به روز شده (در صورت لزوم) است. در صورت وجود ، ما تغییرات عمومی را که مسئله را به شناسه اشکال می رساند ، مانند لیست تغییر AOSP ، پیوند می دهیم. هنگامی که تغییرات متعدد مربوط به یک اشکال واحد است ، منابع اضافی به اعداد زیر شناسه اشکال مرتبط می شوند. دستگاه های دارای Android 10 و بعد ممکن است به روزرسانی های امنیتی و همچنین به روزرسانی های سیستم Google Play را دریافت کنند.
چارچوب
شدیدترین آسیب پذیری در این بخش می تواند منجر به افزایش امتیاز محلی شود و هیچ امتیاز اضافی در اجرای آن لازم نیست. تعامل کاربر برای بهره برداری مورد نیاز نیست.
| CVE | مراجع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2025-22429 | A-373357090 | شناسه | انتقادی | 13، 14، 15 |
| CVE-2025-22416 | A-277207798 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22417 | A-332277530 | اژدها | بالا | 14، 15 |
| CVE-2025-22422 | A-339532378 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22424 | A-350456241 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22426 | A-365086157 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22434 | A-378900798 | اژدها | بالا | 14، 15 |
| CVE-2025-22437 | A-317203980 | اژدها | بالا | 13 |
| CVE-2025-22438 | A-343129193 | اژدها | بالا | 13، 14 |
| CVE-2025-22442 | A-382064697 | اژدها | بالا | 13، 14، 15 |
| CVE-2024-49722 | A-341688848 | شناسه | بالا | 15 |
| CVE-2025-22421 | A-338024220 | شناسه | بالا | 13، 14، 15 |
| CVE-2025-22430 | A-374257207 | شناسه | بالا | 15 |
| CVE-2025-22431 | A-375623125 | DoS | بالا | 13، 14، 15 |
سیستم
شدیدترین آسیب پذیری در این بخش می تواند منجر به افزایش از دور از امتیازات شود و هیچ امتیاز اضافی در اجرای آن لازم نیست. تعامل کاربر برای بهره برداری مورد نیاز نیست.
| CVE | مراجع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | اژدها | انتقادی | 13، 14، 15 |
| CVE-2025-22423 | A-346797131 | DoS | انتقادی | 13، 14، 15 |
| CVE-2024-40653 | A-293458004 | اژدها | بالا | 13، 14، 15 |
| CVE-2024-49720 | A-355411348 | اژدها | بالا | 13، 14، 15 |
| CVE-2024-49730 | A-284989074 | اژدها | بالا | 13، 14 |
| CVE-2025-22418 | A-333344157 | اژدها | بالا | 13، 14 |
| CVE-2025-22419 | A-335387175 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22427 | A-368579654 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22428 | A-372671447 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22432 | A-376461726 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22433 | A-376674080 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22435 | A-273995284 | اژدها | بالا | 13، 14، 15 |
| CVE-2025-22439 | A-352294617 | اژدها | بالا | 13، 14، 15 |
| CVE-2024-49728 | A-296915500 | شناسه | بالا | 13، 14، 15 |
به روزرسانی های سیستم Google Play
موضوعات زیر در مؤلفه های اصلی پروژه گنجانده شده است.
| جزء فرعی | CVE |
|---|---|
| اسناد UI | CVE-2025-22439 |
| پیشرو | CVE-2024-49730 |
| کنترل کننده مجوز | CVE-2024-49720 |
2025-04-05 جزئیات آسیب پذیری سطح پچ امنیتی
در بخش های زیر ، ما جزئیات مربوط به هر یک از آسیب پذیری های امنیتی را که در سطح پچ 2025-04-05 اعمال می شود ، ارائه می دهیم. آسیب پذیری ها تحت مؤلفه ای که بر آنها تأثیر می گذارد ، گروه بندی می شوند. موضوعات در جداول زیر شرح داده شده است و شامل شناسه CVE ، منابع مرتبط ، نوع آسیب پذیری ، شدت و نسخه های AOSP به روز شده (در صورت لزوم) است. در صورت وجود ، ما تغییرات عمومی را که مسئله را به شناسه اشکال می رساند ، مانند لیست تغییر AOSP ، پیوند می دهیم. هنگامی که تغییرات متعدد مربوط به یک اشکال واحد است ، منابع اضافی به اعداد زیر شناسه اشکال مرتبط می شوند.
هسته
شدیدترین آسیب پذیری در این بخش می تواند منجر به افزایش امتیاز محلی شود و هیچ امتیاز اضافی در اجرای آن لازم نیست. تعامل کاربر برای بهره برداری مورد نیاز نیست.
| CVE | مراجع | تایپ کنید | شدت | جزء فرعی |
|---|---|---|---|---|
| CVE-2024-50264 | A-378870958 هسته بالادست | اژدها | بالا | خالص |
| CVE-2024-53197 | A-382243530 هسته بالادست [ 2 ] | اژدها | بالا | USB |
| CVE-2024-56556 | A-380855429 هسته بالادست [ 2 ] | اژدها | بالا | کلاسور |
| CVE-2024-53150 | A-382239029 هسته بالادست [ 2 ] | شناسه | بالا | USB |
اجزای بازو
این آسیب پذیری بر مؤلفه های بازو تأثیر می گذارد و جزئیات بیشتر مستقیماً از ARM در دسترس است. ارزیابی شدت این موضوع به طور مستقیم توسط ARM ارائه می شود.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2025-0050 | A-384996147 * | بالا | مالی |
فن آوری های تخیل
این آسیب پذیری ها بر مؤلفه های فناوری تخیل تأثیر می گذارد و جزئیات بیشتر مستقیماً از فناوری های تخیل در دسترس است. ارزیابی شدت این موضوعات به طور مستقیم توسط فناوری های تخیل ارائه می شود.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-43702 | A-363071287 * | بالا | powervr-gpu |
| CVE-2024-43703 | A-366410795 * | بالا | powervr-gpu |
| CVE-2024-46972 | A-374964509 * | بالا | powervr-gpu |
| CVE-2024-47897 | A-381272263 * | بالا | powervr-gpu |
| CVE-2024-52936 | A-380302155 * | بالا | powervr-gpu |
| CVE-2024-52937 | A-381273105 * | بالا | powervr-gpu |
| CVE-2024-52938 | A-380397760 * | بالا | powervr-gpu |
| CVE-2024-47894 | A-382770071 * | بالا | powervr-gpu |
| CVE-2024-47895 | A-380296167 * | بالا | powervr-gpu |
اجزای واسطه
این آسیب پذیری ها بر مؤلفه های MediaTek تأثیر می گذارد و جزئیات بیشتر مستقیماً از MediaTek در دسترس است. ارزیابی شدت این موضوعات به طور مستقیم توسط MediaTek ارائه می شود.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2025-20656 | A-393950961 m-alps09625423 * | بالا | DA |
| CVE-2025-20657 | A-393950963 m-alps09486425 * | بالا | vdec |
| CVE-2025-20658 | A-393950964 m-alps09474894 * | بالا | DA |
| CVE-2025-20655 | A-393950958 M-DTV04427687 * | بالا | کی مستر |
اجزای Qualcomm
این آسیب پذیری ها بر مؤلفه های Qualcomm تأثیر می گذارد و در جزئیات بیشتر در بولتن امنیتی Qualcomm یا هشدار امنیتی توضیح داده می شود. ارزیابی شدت این موضوعات به طور مستقیم توسط Qualcomm ارائه می شود.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-43066 | A-372003347 QC-CR#3731804 | بالا | بوت لودر |
| CVE-2024-49848 | A-388048362 QC-CR#3908517 | بالا | هسته |
| CVE-2025-21429 | A-388048166 QC-CR#3960857 [ 2 ] | بالا | WLAN |
| CVE-2025-21430 | A-388047866 QC-CR#3910625 [ 2 ] | بالا | WLAN |
| CVE-2025-21434 | A-388048345 QC-CR#3918068 | بالا | WLAN |
| CVE-2025-21435 | A-388047607 QC-CR#3924648 | بالا | WLAN |
| CVE-2025-21436 | A-388048322 QC-CR#3927062 | بالا | هسته |
اجزای منبع بسته Qualcomm
این آسیب پذیری ها بر مؤلفه های منبع بسته Qualcomm تأثیر می گذارد و در جزئیات بیشتر در بولتن امنیتی Qualcomm یا هشدار امنیتی توضیح داده شده است. ارزیابی شدت این موضوعات به طور مستقیم توسط Qualcomm ارائه می شود.
| CVE | مراجع | شدت | جزء فرعی |
|---|---|---|---|
| CVE-2024-45551 | A-372002538 * | انتقادی | مؤلفه منبع بسته |
| CVE-2024-33058 | A-372002796 * | بالا | مؤلفه منبع بسته |
| CVE-2024-43065 | A-372003122 * | بالا | مؤلفه منبع بسته |
| CVE-2024-45549 | A-372002818 * | بالا | مؤلفه منبع بسته |
| CVE-2024-45552 | A-372003503 * | بالا | مؤلفه منبع بسته |
| CVE-2025-21448 | A-388048021 * | بالا | مؤلفه منبع بسته |
سوالات و پاسخ های مشترک
این بخش به سؤالات متداول پاسخ می دهد که ممکن است بعد از خواندن این بولتن رخ دهد.
1. چگونه می توانم تعیین کنم که آیا دستگاه من برای رسیدگی به این مسائل به روز شده است؟
برای یادگیری نحوه بررسی سطح پچ امنیتی دستگاه ، به بررسی و به روزرسانی نسخه Android خود مراجعه کنید.
- سطح پچ امنیتی 2025-04-01 یا بعد از آن به کلیه موضوعات مرتبط با سطح پچ امنیتی 2025-04-01 می پردازد.
- سطح پچ امنیتی 2025-04-05 یا بعد از آن به کلیه موضوعات مرتبط با سطح پچ امنیتی 2025-04-05 و تمام سطح پچ قبلی پرداخته می شود.
تولید کنندگان دستگاهی که شامل این به روزرسانی ها می شوند باید سطح رشته پچ را بر روی زیر قرار دهند:
- [ro.build.version.securance_patch]: [2025-04-01]
- [ro.build.version.securance_patch]: [2025-04-05]
برای برخی از دستگاه های Android 10 یا بعد از آن ، به روزرسانی سیستم Google Play دارای یک رشته تاریخ است که با سطح پچ امنیتی 2025-04-01 مطابقت دارد. لطفاً برای اطلاعات بیشتر در مورد نحوه نصب به روزرسانی های امنیتی ، این مقاله را ببینید.
2. چرا این بولتن دو سطح پچ امنیتی دارد؟
این بولتن دارای دو سطح پچ امنیتی است به طوری که شرکای Android از انعطاف پذیری برای رفع زیر مجموعه ای از آسیب پذیری هایی که در همه دستگاه های Android مشابه هستند ، دارند. شرکای Android تشویق می شوند تا همه مشکلات موجود در این بولتن را برطرف کرده و از آخرین سطح پچ امنیتی استفاده کنند.
- دستگاه هایی که از سطح پچ امنیتی 2025-04-01 استفاده می کنند ، باید شامل کلیه موارد مرتبط با آن سطح پچ امنیتی و همچنین رفع کلیه موارد گزارش شده در بولتن های امنیتی قبلی باشند.
- دستگاه هایی که از سطح امنیتی پچ امنیتی 2025-04-05 یا جدیدتر استفاده می کنند ، باید همه تکه های قابل اجرا را در این بولتن های امنیتی (و قبلی) شامل شوند.
شرکا تشویق می شوند که برای همه مواردی که در یک بروزرسانی واحد به آنها پرداخته می شوند ، اصلاحات را انجام دهند.
3. ورودی های موجود در ستون نوع چیست؟
ورودی در ستون نوع جزئیات آسیب پذیری ، طبقه بندی آسیب پذیری امنیتی را ارجاع می دهد.
| مخفف | تعریف |
|---|---|
| با توجه به | اجرای کد از راه دور |
| اژدها | ارتفاع ممتاز |
| شناسه | افشای اطلاعات |
| DoS | انکار خدمات |
| N/A | طبقه بندی موجود نیست |
4. ورودی های موجود در ستون منابع چیست؟
ورودی های زیر ستون منابع جدول جزئیات آسیب پذیری ممکن است حاوی پیشوند سازمانی باشد که مقدار مرجع به آن تعلق دارد.
| پیشوند | مرجع |
|---|---|
| الف- | شناسه اشکال اندرویدی |
| qc- | شماره مرجع Qualcomm |
| M- | شماره مرجع MediaTek |
| N- | شماره مرجع nvidia |
| ب- | شماره مرجع Broadcom |
| U- | شماره مرجع UNISOC |
5. * در کنار شناسه اشکال اندرویدی در ستون منابع چیست؟
موضوعاتی که در دسترس عموم نیستند ، * در کنار شناسه مرجع مربوطه است. به روزرسانی این مسئله به طور کلی در آخرین درایورهای باینری برای دستگاه های پیکسل موجود از سایت Google Developer موجود است.
6. چرا آسیب پذیری های امنیتی بین این بولتن و بولتن های امنیتی دستگاه / شریک مانند بولتن پیکسل تقسیم می شود؟
آسیب پذیری های امنیتی که در این بولتن امنیتی مستند شده اند ، موظفند آخرین سطح پچ امنیتی را در دستگاه های Android اعلام کنند. آسیب پذیری های امنیتی اضافی که در بولتن های امنیتی دستگاه / شریک ثبت شده است ، برای اعلام سطح پچ امنیتی لازم نیست. تولید کنندگان دستگاه Android و چیپست همچنین ممکن است جزئیات آسیب پذیری امنیتی را خاص برای محصولات خود مانند Google ، Huawei ، LGE ، Motorola ، Nokia یا Samsung منتشر کنند.
نسخه ها
| نسخه | تاریخ | یادداشت ها |
|---|---|---|
| 1.0 | 7 آوریل 2025 | بولتن منتشر شد |