تم النشر في 06 يوليو 2016 | تم التحديث في 1 أبريل 2019
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لـ Nexus على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 يوليو 2016 أو الإصدارات الأحدث جميع المشكلات القابلة للتطبيق في هذه النشرة. راجع الوثائق لمعرفة كيفية التحقق من مستوى التصحيح الأمني.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 06 يونيو 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.
أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف آثار خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- تحدد هذه النشرة سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 01/07/2016 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بـ 01-07-2016.
- 05/07/2016 : إكمال سلسلة مستوى التصحيح الأمني. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بـ 01/07/2016 و05/07/2016.
- ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني بتاريخ 05 يوليو 2016.
عمليات تخفيف خدمات Android وGoogle
هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو أمر مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
ونود أن نشكر هؤلاء الباحثين على مساهماتهم:
- أبهيشيك آريا وأوليفر تشانغ ومارتن باربيلا من فريق أمان Google Chrome: CVE-2016-3756، CVE-2016-3741، CVE-2016-3743، CVE-2016-3742
- آدم دوننفيلد وآخرون. شركة Check Point Software Technologies Ltd.: CVE-2016-2503
- آدم باول من جوجل: CVE-2016-3752
- Alex Chapman وPaul Stone من سياق أمن المعلومات: CVE-2016-3763
- أندي تايلر ( @ticarpi ) من e2e-assure : CVE-2016-2457
- بن هوكس من Google Project Zero: CVE-2016-3775
- Chiachih Wu ( @chiachih_wu )، وYuan-Tsung Lo ( computernik@gmail.com )، وXuxian Jiang من فريق C0RE : CVE-2016-3770، CVE-2016-3771، CVE-2016-3772، CVE-2016-3773، CVE-2016-3774
- كريستوفر تيت من جوجل: CVE-2016-3759
- دي شين ( @returnsme ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-3762
- Gengjia Chen ( @chengjia4574 )، pjf ( weibo.com/jfpan ) من IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-3806، CVE-2016-3816، CVE-2016-3805، CVE-2016-3804 ، CVE-2016-3767، CVE-2016-3810، CVE-2016-3795، CVE-2016-3796
- جريج كايزر من فريق Google Android: CVE-2016-3758
- Guang Gong (龚广) ( @oldfresher ) من Mobile Safe Team، Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
- Hao Chen وGuang Gong من Alpha Team، Qihoo 360 Technology Co. Ltd .: CVE-2016-3792، CVE-2016-3768
- Hao Qin من مختبر أبحاث الأمان، Cheetah Mobile : CVE-2016-3754، CVE-2016-3766
- Jianqiang Zhao ( @jianqiangzhao ) وpjf ( weibo.com/jfpan ) من IceSword Lab، Qihoo 360 Technology Co. Ltd : CVE-2016-3814، CVE-2016-3802، CVE-2016-3769، CVE-2016-3807، CVE-2016-3808
- ماركو نيليسن من جوجل: CVE-2016-3818
- العلامة التجارية لـ Google Project Zero: CVE-2016-3757
- ميشال بيدنارسكي : CVE-2016-3750
- Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-3747، CVE-2016-3746، CVE-2016-3765
- Peng Xiao وChengming Yang وNing You وChao Yang وYang Ssong من Alibaba Mobile Security Group: CVE-2016-3800، CVE-2016-3799، CVE-2016-3801، CVE-2016-3812، CVE-2016-3798
- Peter Pi ( @heisecode ) من Trend Micro: CVE-2016-3793
- ريكي واي من جوجل: CVE-2016-3749
- رولاند كراك: CVE-2016-3753
- سكوت باور ( @ScottyBauer1 ): CVE-2016-3797، CVE-2016-3813، CVE-2016-3815، CVE-2016-2501، CVE-2016-2502
- فاسيلي فاسيليف: CVE-2016-2507
- Weichao Sun ( @sunblate ) من شركة Alibaba Inc.: CVE-2016-2508، CVE-2016-3755
- وين نيو ( @NWMonster ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-3809
- Xiling Gong من قسم Tencent Security Platform: CVE-2016-3745
- Yacong Gu من مختبر TCA، معهد البرمجيات، الأكاديمية الصينية للعلوم: CVE-2016-3761
- Yongke Wang ( @Rudykewang ) من Xuanwu LAB، Tencent: CVE-2016-2505
- Yongke Wang ( @Rudykewang ) وWei Wei ( @Danny__Wei ) من Xuanwu LAB، Tencent: CVE-2016-2506
- Yulong Zhang وTao (Lenx) Wei من Baidu X-Lab: CVE-2016-3744
01-07-2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-07-2016. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver. تتمتع عملية Mediaserver بإمكانية الوصول إلى تدفقات الصوت والفيديو، بالإضافة إلى الوصول إلى الامتيازات التي لا تستطيع تطبيقات الطرف الثالث الوصول إليها عادةً.
يتم توفير الوظيفة المتأثرة كجزء أساسي من نظام التشغيل، وهناك العديد من التطبيقات التي تسمح بالوصول إليها من خلال المحتوى البعيد، وأبرزها رسائل الوسائط المتعددة (MMS) وتشغيل الوسائط عبر المتصفح.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2506 | أ-28175045 | شديد الأهمية | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 11 أبريل 2016 |
| CVE-2016-2505 | أ-28333006 | شديد الأهمية | كل نيكزس | 6.0، 6.0.1 | 21 أبريل 2016 |
| CVE-2016-2507 | أ-28532266 | شديد الأهمية | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 2 مايو 2016 |
| CVE-2016-2508 | ا-28799341 [ 2 ] | شديد الأهمية | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 16 مايو 2016 |
| CVE-2016-3741 | ا-28165661 [ 2 ] | شديد الأهمية | كل نيكزس | 6.0، 6.0.1 | جوجل الداخلية |
| CVE-2016-3742 | أ-28165659 | شديد الأهمية | كل نيكزس | 6.0، 6.0.1 | جوجل الداخلية |
| CVE-2016-3743 | أ-27907656 | شديد الأهمية | كل نيكزس | 6.0، 6.0.1 | جوجل الداخلية |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في OpenSSL وBoringSSL
يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في OpenSSL وBoringSSL إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة الملفات والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق العملية المتأثرة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2108 | أ-28175332 | شديد الأهمية | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 3 مايو 2016 |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في البلوتوث
قد تسمح ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في تقنية Bluetooth للمهاجم القريب بتنفيذ تعليمات برمجية عشوائية أثناء عملية الاقتران. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد أثناء تهيئة جهاز Bluetooth.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3744 | أ-27930580 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 30 مارس 2016 |
رفع ثغرة الامتياز في libpng
قد يؤدي رفع ثغرة الامتياز في libpng إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات مرتفعة، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3751 | أ-23265085 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 3 ديسمبر 2015 |
رفع ثغرة الامتياز في Mediaserver
قد تؤدي زيادة ثغرة الامتياز في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للحصول على وصول محلي إلى إمكانات مرتفعة، مثل امتيازات أذونات التوقيع أو SignatureOrSystem ، والتي لا يمكن لتطبيق جهة خارجية الوصول إليها.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3745 | أ-28173666 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 10 أبريل 2016 |
| CVE-2016-3746 | أ-27890802 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 27 مارس 2016 |
| CVE-2016-3747 | أ-27903498 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 28 مارس 2016 |
رفع ثغرة الامتياز في المقابس
قد تؤدي زيادة ثغرة الامتيازات في المقابس إلى تمكين تطبيق ضار محلي من الوصول إلى مكالمات النظام خارج مستوى الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنها قد تسمح بتجاوز الإجراءات الأمنية المعمول بها لزيادة صعوبة استغلال المهاجمين للنظام الأساسي.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3748 | أ-28171804 | عالي | كل نيكزس | 6.0، 6.0.1 | 13 أبريل 2016 |
رفع ثغرة الامتياز في LockSettingsService
قد تؤدي زيادة ثغرة الامتيازات في LockSettingsService إلى تمكين تطبيق ضار من إعادة تعيين كلمة مرور قفل الشاشة دون إذن من المستخدم. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم لأي تعديلات على إعدادات المطور أو الأمان.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3749 | أ-28163930 | عالي | كل نيكزس | 6.0، 6.0.1 | جوجل الداخلية |
رفع مستوى الضعف في الامتيازات في Framework APIs
قد تؤدي زيادة ثغرة الامتيازات في Parcels Framework APIs إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3750 | أ-28395952 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 16 ديسمبر 2015 |
رفع ثغرة الامتياز في خدمة ChooserTarget
قد تؤدي زيادة ثغرة الامتيازات في خدمة ChooserTarget إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية في سياق تطبيق آخر. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى الأنشطة التابعة لتطبيق آخر دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3752 | أ-28384423 | عالي | كل نيكزس | 6.0، 6.0.1 | جوجل الداخلية |
ثغرة الكشف عن المعلومات في Mediaserver
قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين مهاجم عن بعد من الوصول إلى البيانات المحمية التي لا يمكن الوصول إليها عادةً إلا من خلال التطبيقات المثبتة محليًا التي تطلب الإذن. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3753 | أ-27210135 | عالي | لا أحد* | 4.4.4 | 15 فبراير 2016 |
* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرة الكشف عن المعلومات في OpenSSL
قد تؤدي ثغرة الكشف عن المعلومات في OpenSSL إلى تمكين مهاجم عن بعد من الوصول إلى البيانات المحمية التي لا يمكن الوصول إليها عادةً إلا من خلال التطبيقات المثبتة محليًا التي تطلب الإذن. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-2107 | أ-28550804 | عالي | لا أحد* | 4.4.4، 5.0.2، 5.1.1 | 13 أبريل 2016 |
* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
الحرمان من ثغرة الخدمة في Mediaserver
قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3754 | ا-28615448 [ 2 ] | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 5 مايو 2016 |
| CVE-2016-3755 | أ-28470138 | عالي | كل نيكزس | 6.0، 6.0.1 | 29 أبريل 2016 |
| CVE-2016-3756 | أ-28556125 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | جوجل الداخلية |
الحرمان من ثغرة الخدمة في libc
قد تؤدي ثغرة رفض الخدمة في libc إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3818 | ا-28740702 [ 2 ] | عالي | لا أحد* | 4.4.4 | جوجل الداخلية |
* لا تتأثر أجهزة Nexus المدعومة التي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في lsof
قد تؤدي زيادة ثغرة الامتياز في lsof إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية قد تؤدي إلى اختراق دائم للجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب خطوات يدوية غير شائعة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3757 | أ-28175237 | معتدل | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 11 أبريل 2016 |
رفع ثغرة الامتياز في DexClassLoader
قد تؤدي زيادة ثغرة الامتيازات في DexClassLoader إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب خطوات يدوية غير شائعة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3758 | أ-27840771 | معتدل | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | جوجل الداخلية |
رفع مستوى الضعف في الامتيازات في Framework APIs
قد تؤدي زيادة ثغرة الامتيازات في واجهات برمجة تطبيقات Framework إلى تمكين تطبيق ضار محلي من طلب أذونات النسخ الاحتياطي واعتراض كافة بيانات النسخ الاحتياطي. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أذونات محددة لتجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3759 | أ-28406080 | معتدل | كل نيكزس | 5.0.2، 5.1.1، 6.0، 6.0.1 | جوجل الداخلية |
رفع ثغرة الامتياز في البلوتوث
قد تؤدي زيادة ثغرة الامتياز في مكون Bluetooth إلى تمكين مهاجم محلي من إضافة جهاز Bluetooth تمت مصادقته والذي يستمر للمستخدم الأساسي. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للحصول على إمكانات مرتفعة دون الحصول على إذن صريح من المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3760 | ا-27410683 [ 2 ] [ 3 ] | معتدل | كل نيكزس | 5.0.2، 5.1.1، 6.0، 6.0.1 | 29 فبراير 2016 |
رفع ثغرة الامتياز في NFC
قد تؤدي زيادة ثغرة الامتياز في NFC إلى تمكين تطبيق خلفية ضار محلي من الوصول إلى المعلومات من تطبيق أمامي. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للحصول على إمكانات مرتفعة دون الحصول على إذن صريح من المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3761 | أ-28300969 | معتدل | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 20 أبريل 2016 |
رفع ثغرة الامتياز في المقابس
قد تؤدي زيادة ثغرة الامتياز في المقابس إلى تمكين تطبيق ضار محلي من الوصول إلى بعض أنواع المقابس غير الشائعة، مما قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها قد تسمح بتجاوز الإجراءات الأمنية المعمول بها لزيادة صعوبة استغلال المهاجمين للنظام الأساسي.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3762 | أ-28612709 | معتدل | كل نيكزس | 5.0.2، 5.1.1، 6.0، 6.0.1 | 21 أبريل 2016 |
ثغرة أمنية في الكشف عن المعلومات في Proxy Auto-Config
يمكن أن تسمح ثغرة الكشف عن المعلومات في مكون Proxy Auto-Config لأحد التطبيقات بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3763 | أ-27593919 | معتدل | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 10 مارس 2016 |
ثغرة الكشف عن المعلومات في Mediaserver
يمكن أن تسمح ثغرة الكشف عن المعلومات في Mediaserver لتطبيق ضار محلي بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3764 | أ-28377502 | معتدل | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 25 أبريل 2016 |
| CVE-2016-3765 | أ-28168413 | معتدل | كل نيكزس | 6.0، 6.0.1 | 8 أبريل 2016 |
الحرمان من ثغرة الخدمة في Mediaserver
قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض الخدمة عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3766 | ا-28471206 [ 2 ] | معتدل | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 | 29 أبريل 2016 |
05/07/2016 مستوى التصحيح الأمني — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-07-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2503 | أ-28084795* كيو سي-CR1006067 | شديد الأهمية | نيكزس 5X، نيكزس 6P | 5 أبريل 2016 |
| CVE-2016-2067 | أ-28305757 كيو سي-CR988993 | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P | 20 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3767 | أ-28169363* م-ALPS02689526 | شديد الأهمية | أندرويد وان | 6 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في مكون أداء Qualcomm
قد تؤدي زيادة ثغرة الامتياز في مكون أداء Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3768 | أ-28172137* كيو سي-CR1010644 | شديد الأهمية | نيكزس 5، نيكزس 6، نيكزس 5X، نيكزس 6P، نيكزس 7 (2013) | 9 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3769 | أ-28376656* N-CVE20163769 | شديد الأهمية | نيكزس 9 | 18 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برامج تشغيل MediaTek (خاص بالجهاز)
قد يؤدي ارتفاع ثغرة الامتياز في برامج تشغيل MediaTek المتعددة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3770 | أ-28346752* م-ALPS02703102 | شديد الأهمية | أندرويد وان | 22 أبريل 2016 |
| CVE-2016-3771 | أ-29007611* م-ALPS02703102 | شديد الأهمية | أندرويد وان | 22 أبريل 2016 |
| CVE-2016-3772 | أ-29008188* م-ALPS02703102 | شديد الأهمية | أندرويد وان | 22 أبريل 2016 |
| CVE-2016-3773 | أ-29008363* م-ALPS02703102 | شديد الأهمية | أندرويد وان | 22 أبريل 2016 |
| CVE-2016-3774 | أ-29008609* م-ALPS02703102 | شديد الأهمية | أندرويد وان | 22 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في نظام ملفات kernel
قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3775 | أ-28588279* | شديد الأهمية | Nexus 5X، وNexus 6، وNexus 6P، وNexus Player، وPixel C | 4 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل USB
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل USB إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8816 | أ-28712303* | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 (2013)، نيكزس 9، نيكزس بلاير، بكسل C | 4 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في مكونات Qualcomm
يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm بما في ذلك أداة تحميل التشغيل، وبرنامج تشغيل الكاميرا، وبرنامج تشغيل الأحرف، والشبكات، وبرنامج تشغيل الصوت، وبرنامج تشغيل الفيديو.
تم تصنيف أخطر هذه المشكلات على أنها حرجة نظرًا لاحتمال تنفيذ تعليمات برمجية عشوائية مما يؤدي إلى احتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة* | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9795 | أ-28820720 كيو سي-CR681957 [ 2 ] | شديد الأهمية | نيكزس 5 | 8 أغسطس 2014 |
| CVE-2014-9794 | أ-28821172 مراقبة الجودة-CR646385 | شديد الأهمية | نيكزس 7 (2013) | 8 أغسطس 2014 |
| CVE-2015-8892 | أ-28822807 مراقبة الجودة-CR902998 | شديد الأهمية | نيكزس 5X، نيكزس 6P | 30 ديسمبر 2015 |
| CVE-2014-9781 | أ-28410333 مراقبة الجودة-CR556471 | عالي | نيكزس 7 (2013) | 6 فبراير 2014 |
| CVE-2014-9786 | أ-28557260 مراقبة الجودة-CR545979 | عالي | نيكزس 5، نيكزس 7 (2013) | 13 مارس 2014 |
| CVE-2014-9788 | أ-28573112 كيو سي-CR548872 | عالي | نيكزس 5 | 13 مارس 2014 |
| CVE-2014-9779 | أ-28598347 مراقبة الجودة-CR548679 | عالي | نيكزس 5 | 13 مارس 2014 |
| CVE-2014-9780 | أ-28602014 مراقبة الجودة-CR542222 | عالي | نيكزس 5، نيكزس 5X، نيكزس 6P | 13 مارس 2014 |
| CVE-2014-9789 | أ-28749392 مراقبة الجودة-CR556425 | عالي | نيكزس 5 | 13 مارس 2014 |
| CVE-2014-9793 | أ-28821253 مراقبة الجودة-CR580567 | عالي | نيكزس 7 (2013) | 13 مارس 2014 |
| CVE-2014-9782 | أ-28431531 مراقبة الجودة-CR511349 | عالي | نيكزس 5، نيكزس 7 (2013) | 31 مارس 2014 |
| CVE-2014-9783 | أ-28441831 كيو سي-CR511382 [ 2 ] | عالي | نيكزس 7 (2013) | 31 مارس 2014 |
| CVE-2014-9785 | أ-28469042 مراقبة الجودة-CR545747 | عالي | نيكزس 7 (2013) | 31 مارس 2014 |
| CVE-2014-9787 | أ-28571496 مراقبة الجودة-CR545764 | عالي | نيكزس 7 (2013) | 31 مارس 2014 |
| CVE-2014-9784 | أ-28442449 مراقبة الجودة-CR585147 | عالي | نيكزس 5، نيكزس 7 (2013) | 30 أبريل 2014 |
| CVE-2014-9777 | أ-28598501 مراقبة الجودة-CR563654 | عالي | نيكزس 5، نيكزس 7 (2013) | 30 أبريل 2014 |
| CVE-2014-9778 | أ-28598515 مراقبة الجودة-CR563694 | عالي | نيكزس 5، نيكزس 7 (2013) | 30 أبريل 2014 |
| CVE-2014-9790 | أ-28769136 كيو سي-CR545716 [ 2 ] | عالي | نيكزس 5، نيكزس 7 (2013) | 30 أبريل 2014 |
| CVE-2014-9792 | أ-28769399 مراقبة الجودة-CR550606 | عالي | نيكزس 5 | 30 أبريل 2014 |
| CVE-2014-9797 | أ-28821090 مراقبة الجودة-CR674071 | عالي | نيكزس 5 | 3 يوليو 2014 |
| CVE-2014-9791 | أ-28803396 مراقبة الجودة-CR659364 | عالي | نيكزس 7 (2013) | 29 أغسطس 2014 |
| CVE-2014-9796 | أ-28820722 مراقبة الجودة-CR684756 | عالي | نيكزس 5، نيكزس 7 (2013) | 30 سبتمبر 2014 |
| CVE-2014-9800 | أ-28822150 مراقبة الجودة-CR692478 | عالي | نيكزس 5، نيكزس 7 (2013) | 31 أكتوبر 2014 |
| CVE-2014-9799 | أ-28821731 كيو سي-CR691916 | عالي | نيكزس 5، نيكزس 7 (2013) | 31 أكتوبر 2014 |
| CVE-2014-9801 | أ-28822060 مراقبة الجودة-CR705078 | عالي | نيكزس 5 | 28 نوفمبر 2014 |
| CVE-2014-9802 | أ-28821965 مراقبة الجودة-CR705108 | عالي | نيكزس 5، نيكزس 7 (2013) | 31 ديسمبر 2014 |
| CVE-2015-8891 | أ-28842418 كيو سي-CR813930 | عالي | نيكزس 5، نيكزس 7 (2013) | 29 مايو 2015 |
| CVE-2015-8888 | أ-28822465 كيو سي-CR813933 | عالي | نيكزس 5 | 30 يونيو 2015 |
| CVE-2015-8889 | أ-28822677 مراقبة الجودة-CR804067 | عالي | نيكزس 6P | 30 يونيو 2015 |
| CVE-2015-8890 | أ-28822878 مراقبة الجودة-CR823461 | عالي | نيكزس 5، نيكزس 7 (2013) | 19 أغسطس 2015 |
* يتم توفير تصنيف خطورة هذه المشكلات مباشرةً من شركة Qualcomm.
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm USB
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm USB إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2502 | أ-27657963 مراقبة الجودة-CR997044 | عالي | نيكزس 5X، نيكزس 6P | 11 مارس 2016 |
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3792 | أ-27725204 مراقبة الجودة-CR561022 | عالي | نيكزس 7 (2013) | 17 مارس 2016 |
رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2501 | أ-27890772* كيو سي-CR1001092 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 (2013) | 27 مارس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3793 | أ-28026625* N-CVE20163793 | عالي | نيكزس 9 | 5 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الطاقة MediaTek
قد يؤدي رفع الامتياز في برنامج تشغيل الطاقة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3795 | أ-28085222* م-ALPS02677244 | عالي | أندرويد وان | 7 أبريل 2016 |
| CVE-2016-3796 | أ-29008443* م-ALPS02677244 | عالي | أندرويد وان | 7 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3797 | أ-28085680* كيو سي-CR1001450 | عالي | نيكزس 5X | 7 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل مستشعر أجهزة MediaTek
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل مستشعر أجهزة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3798 | أ-28174490* م-ALPS02703105 | عالي | أندرويد وان | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3799 | أ-28175025* م-ALPS02693738 | عالي | أندرويد وان | 11 أبريل 2016 |
| CVE-2016-3800 | أ-28175027* م-ALPS02693739 | عالي | أندرويد وان | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل MediaTek GPS
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek GPS إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3801 | أ-28174914* م-ALPS02688853 | عالي | أندرويد وان | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في نظام ملفات kernel
قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3802 | أ-28271368* | عالي | نيكزس 9 | 19 أبريل 2016 |
| CVE-2016-3803 | أ-28588434* | عالي | نيكزس 5X، نيكزس 6P | 4 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل إدارة الطاقة MediaTek
قد يؤدي رفع الامتياز في برنامج تشغيل إدارة الطاقة MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3804 | أ-28332766* م-ALPS02694410 | عالي | أندرويد وان | 20 أبريل 2016 |
| CVE-2016-3805 | أ-28333002* م-ALPS02694412 | عالي | أندرويد وان | 21 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل العرض MediaTek
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل العرض MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3806 | أ-28402341* م-ALPS02715341 | عالي | أندرويد وان | 26 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الواجهة الطرفية التسلسلية
يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الواجهة الطرفية التسلسلية إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3807 | أ-28402196* | عالي | نيكزس 5X، نيكزس 6P | 26 أبريل 2016 |
| CVE-2016-3808 | أ-28430009* | عالي | بكسل سي | 26 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2068 | أ-28470967 مراقبة الجودة-CR1006609 | عالي | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P | 28 أبريل 2016 |
رفع ثغرة الامتياز في النواة
قد يؤدي ارتفاع ثغرة الامتيازات في kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9803 | أ-28557020 نواة المنبع | عالي | نيكزس 5X، نيكزس 6P | جوجل الداخلية |
ثغرة الكشف عن المعلومات في مكون الشبكات
قد تؤدي الثغرة الأمنية في الكشف عن المعلومات في مكون الشبكة إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3809 | أ-27532522* | عالي | كل نيكزس | 5 مارس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل MediaTek Wi-Fi إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3810 | أ-28175522* م-ALPS02694389 | عالي | أندرويد وان | 12 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل فيديو kernel
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3811 | أ-28447556* | معتدل | نيكزس 9 | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الفيديو MediaTek
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل برنامج ترميز الفيديو MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3812 | أ-28174833* م-ALPS02688832 | معتدل | أندرويد وان | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm USB
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm USB إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3813 | أ-28172322* كيو سي-CR1010222 | معتدل | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P | 11 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل كاميرا NVIDIA
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الكاميرا NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3814 | أ-28193342* N-CVE20163814 | معتدل | نيكزس 9 | 14 أبريل 2016 |
| CVE-2016-3815 | أ-28522274* N-CVE20163815 | معتدل | نيكزس 9 | 1 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل العرض MediaTek
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل العرض MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3816 | أ-28402240* | معتدل | أندرويد وان | 26 أبريل 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل المبرقة kernel
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل المبرقة إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-0723 | أ-28409131 نواة المنبع | معتدل | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 7 (2013)، نيكزس 9، نيكزس بلاير، بكسل C | 26 أبريل 2016 |
ثغرة أمنية في رفض الخدمة في أداة تحميل التشغيل Qualcomm
قد تؤدي ثغرة رفض الخدمة في أداة تحميل التشغيل Qualcomm إلى تمكين تطبيق ضار محلي من التسبب في اختراق جهاز محلي دائم، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9798 | أ-28821448 كيو سي-CR681965 | معتدل | نيكزس 5 | 31 أكتوبر 2014 |
| CVE-2015-8893 | أ-28822690 كيو سي-CR822275 | معتدل | نيكزس 5، نيكزس 7 (2013) | 19 أغسطس 2015 |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟
تتناول مستويات تصحيح الأمان 01-07-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 01-7-2016. تتناول مستويات تصحيح الأمان 05-07-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 05-07-2016. ارجع إلى مركز المساعدة للحصول على إرشادات حول كيفية التحقق من مستوى التصحيح الأمني. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-07-01] أو [ro.build.version.security_patch]:[2016-07-05].
2. لماذا تحتوي هذه النشرة على سلسلتين على مستوى التصحيح الأمني؟
تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان من أجل تزويد شركاء Android بالمرونة اللازمة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث سلسلة لمستوى تصحيح الأمان.
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 يوليو 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 يوليو 2016 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة. قد تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 يوليو 2016 أيضًا مجموعة فرعية من الإصلاحات المرتبطة بمستوى تصحيح الأمان بتاريخ 5 يوليو 2016.
3. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟
في أقسام تفاصيل الثغرات الأمنية 01-07-2016 و05-07-2016 ، يحتوي كل جدول على عمود أجهزة Nexus المحدثة الذي يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus، فسيحتوي الجدول على "All Nexus" في عمود أجهزة Nexus المحدثة . يشتمل "All Nexus" على الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) وNexus 9 وAndroid One وNexus Player وPixel C.
- بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدثة .
- لا توجد أجهزة Nexus : إذا لم تتأثر أي أجهزة Nexus بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Nexus المحدثة .
4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟
قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:
| بادئة | مرجع |
|---|---|
| أ- | معرف خطأ أندرويد |
| مراقبة الجودة- | الرقم المرجعي لشركة كوالكوم |
| م- | الرقم المرجعي لميديا تيك |
| ن- | الرقم المرجعي لـ NVIDIA |
التنقيحات
- 06 يوليو 2016: نشر النشرة.
- 07 يوليو 2016:
- تمت إضافة روابط AOSP.
- تمت إزالة CVE-2016-3794 لأنه نسخة مكررة من CVE-2016-3814
- تمت إضافة الإسناد لـ CVE-2016-2501 وCVE-2016-2502
- 11 يوليو 2016: تم تحديث الإسناد لـ CVE-2016-3750
- 14 يوليو 2016: الإسناد المحدث لـ CVE-2016-2503
- 1 أبريل 2019: تم تحديث روابط التصحيح لـ CVE-2016-3818