تاريخ النشر: 6 أيلول (سبتمبر) 2016 | تاريخ التعديل: 12 أيلول (سبتمبر) 2016
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. إلى جانب نشرة الأمان، أصدرنا تحديثًا لأمان أجهزة Nexus من خلال تحديث عبر شبكة غير سلكية (OTA). تم أيضًا إصدار ملفّات برمجية أساسية لأجهزة Nexus على موقع "مطوّرو تطبيقات Google". تعالج مستويات تصحيحات الأمان في 6 أيلول (سبتمبر) 2016 أو الإصدارات الأحدث هذه الصعوبات. راجِع المستندات للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان. ستتلقّى أجهزة Nexus المتوافقة تحديثًا واحدًا عبر شبكة Wi-Fi يتضمّن مستوى تصحيح الأمان في 6 أيلول (سبتمبر) 2016.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة بتاريخ 5 آب (أغسطس) 2016 أو قبل ذلك. تم إصدار تصحيحات رمز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) حيثما كان ذلك منطبقًا. يتضمّن هذا التقرير أيضًا روابط إلى تصحيحات خارج AOSP.
إنّ أخطر هذه المشاكل هي ثغرة أمنية خطيرة يمكن أن تؤدي إلى تفعيل تنفيذ الرموز البرمجية عن بُعد على جهاز متأثر من خلال طُرق متعدّدة، مثل البريد الإلكتروني وتصفّح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يستند تقييم الخطورة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى القسم إجراءات التخفيف في Android وخدمات Google لمعرفة تفاصيل عن وسائل حماية نظام Android الأساسي للأمان ووسائل حماية الخدمات، مثل SafetyNet، التي تحسِّن من أمان نظام Android الأساسي.
وننصحك بقبول هذه التحديثات على أجهزتك.
الإشعارات
- تتضمّن هذه النشرة الإخبارية ثلاث سلاسل مستويات تصحيحات الأمان لمنح شركاء Android
مرونة أكبر في معالجة مجموعة فرعية من
الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. يمكنك الاطّلاع على الأسئلة الشائعة والإجابات عنها للحصول على معلومات إضافية:
- 2016-09-01: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة ملف تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01/09/2016 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- 2016-09-05: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة رمز تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بالتاريخَين 01-09-2016 و05-09-2016 (وجميع سلاسل مستويات رمز تصحيح الأمان السابقة).
- 2016-09-06: سلسلة كاملة لمستوى تحديث الأمان، والتي تتناول المشاكل التي تم اكتشافها بعد إرسال إشعار إلى الشركاء بشأن معظم المشاكل الواردة في هذه النشرة. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بالتاريخ 01/09/2016 و05/09/2016 و06/09/2016 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- ستتلقّى أجهزة Nexus المتوافقة تحديثًا واحدًا عبر شبكة غير سلكية يتضمّن مستوى تصحيح الأمان بتاريخ 06 أيلول (سبتمبر) 2016.
إجراءات التخفيف في Android وخدمات Google
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- إنّ استغلال العديد من المشاكل على Android أصبح أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. وننصحك جميع المستخدمين بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يراقب فريق أمان Android الاستخدام المسيء من خلال التحقّق من التطبيقات وSafetyNet، اللذان تم تصميمهما لتحذير المستخدمين من التطبيقات التي قد تكون ضارة. تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا على الأجهزة التي تتضمّن خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبتون التطبيقات من خارج Google Play. يُحظر استخدام أدوات برمجة التطبيقات لمنح أذونات الوصول إلى الجذر على Google Play، ولكن تحذّر ميزة "التحقّق من التطبيقات" المستخدمين عند محاولة تثبيت تطبيق تم رصده يمنح أذونات الوصول إلى الجذر، بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة "التحقق من التطبيقات" تحديد وتثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة تتعلّق بتعزيز الأذونات وحظرها. إذا سبق تثبيت تطبيق مماثل، ستُرسِل ميزة "التحقّق من التطبيقات" إشعارًا إلى المستخدم وستحاول إزالة التطبيق الذي تم رصده.
- لا تُرسِل تطبيقات Google Hangouts وMessenger الوسائط تلقائيًا إلى عمليات مثل Mediaserver، وذلك حسب الاقتضاء.
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- "كورى بروسي" من جامعة كارنيغي ميلون: CVE-2016-3897
- "جينجيا تشين" (@chengjia4574) و"بي جي إف" (pjf) من مختبر IceSword، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-3869 وCVE-2016-3865 وCVE-2016-3866 وCVE-2016-3867
- هاو تشين من مختبر أبحاث الأمان في Cheetah Mobile: CVE-2016-3863
- يان هورن من فريق Project Zero في Google: CVE-2016-3885
- جيانكينغ تشاو (@jianqiangzhao) وpjf من مختبر IceSword، Qihoo 360: CVE-2016-3858
- جوشوا دريك (@jduck): CVE-2016-3861
- مادو بريا مورغان من CISPA، جامعة سارلاند: CVE-2016-3896
- ماكوتو أونوكي من Google: CVE-2016-3876
- Mark Brand of Google Project Zero: CVE-2016-3861
- ماكس سبيكتور، فريق أمان Android: CVE-2016-3888
- "ماكس سبيكتور" و"كوان تو" من فريق أمان Android: CVE-2016-3889
- مينغيان تشاو (@Mingjian_Zhou)، تشيه تشيه وو (@chiachih_wu)، وإكسيان جيان من فريق C0RE: CVE-2016-3895
- ناثان كراندال (@natecray) من فريق أمان منتجات Tesla Motors: اكتشاف مشاكل إضافية مرتبطة بحالة CVE-2016-2446
- أولكسي فيالوف من Google: CVE-2016-3890
- أوليفر تشانغ، من فريق أمان Google Chrome: CVE-2016-3880
- "بينغ شياو" و"تشنغمينغ يانغ" و"نينغ يو" و"تشاو يانغ" و"يانغ سونغ"، من Alibaba مجموعة أمان الأجهزة الجوّالة: CVE-2016-3859
- رونالد ل. لورا فارجاس (@loor_rlv) من فريق Lv51: CVE-2016-3886
- ساغي كيدمي، باحث في فريق X-Force في IBM Security: CVE-2016-3873
- سكوت باور (@ScottyBauer1): CVE-2016-3893، CVE-2016-3868، CVE-2016-3867
- Seven Shen (@lingtongshen) من TrendMicro: CVE-2016-3894
- تيم سترازيري (@timstrazz) من SentinelOne / RedNaga: CVE-2016-3862
- trotmaster (@trotmaster99): CVE-2016-3883
- فيكتور تشانغ من Google: CVE-2016-3887
- فيغيش فينكاتاسوبرامانيان من Google: CVE-2016-3881
- Weichao Sun (@sunblate) من Alibaba Inc: CVE-2016-3878
- Wenke Dou وMingjian Zhou (@Mingjian_Zhou) وChiachih Wu (@chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2016-3870 وCVE-2016-3871 وCVE-2016-3872
- Wish Wu (吴潍浠) (@wish_wu) من Trend Micro Inc: CVE-2016-3892
- شينغيو هي (何星宇) (@Spid3r_) من Alibaba Inc: CVE-2016-3879
- ياكونغ غو من مختبر TCA، معهد البرمجيات، الأكاديمية الصينية للعلوم: CVE-2016-3884
- يورو شاو من جامعة ميشيغان، آن أربور: CVE-2016-3898
مستوى رمز تصحيح الأمان في 1 أيلول (سبتمبر) 2016: تفاصيل ثغرة الأمان
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 1 أيلول (سبتمبر) 2016. يتضمّن الجدول وصفًا للمشكلة وسبب خطورتها، وجدولاً يتضمّن معرّف CVE والمراجع المرتبطة به والحدّ الأقصى لمستوى الخطورة وأجهزة Nexus التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيثما ينطبق ذلك) وتاريخ الإبلاغ عن المشكلة. عندما يكون ذلك متاحًا، سنربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة التغييرات في AOSP. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في LibUtils تتيح تنفيذ رموز برمجية عن بُعد
يمكن أن تؤدي ثغرة أمنية في LibUtils تتيح تنفيذ رمز برمجي عن بُعد إلى تمكين مهاجم من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب إمكانية تنفيذ رمز عن بُعد في التطبيقات التي تستخدم هذه المكتبة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3861 | A-29250543 [2] [3] [4] | حرِج | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 9 حزيران (يونيو) 2016 |
ثغرة تنفيذ رمز عن بُعد في Mediaserver
يمكن أن تسمح ثغرة أمنية لتنفيذ رموز برمجية عن بُعد في Mediaserver لمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمز عن بُعد في سياق عملية Mediaserver.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3862 | A-29270469 | حرِج | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 10 حزيران (يونيو) 2016 |
ثغرة أمنية في MediaMuxer تتيح تنفيذ رمز برمجي عن بُعد
يمكن أن تسمح ثغرة أمنية في MediaMuxer لتنفيذ رموز برمجية عن بُعد، ما يتيح للمهاجم استخدام ملف تم إنشاؤه خصيصًا لتنفيذ رمز برمجي عشوائي في سياق عملية بدون امتيازات. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمال تنفيذ رمز عن بُعد في تطبيق يستخدم MediaMuxer.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3863 | A-29161888 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 6 حزيران (يونيو) 2016 |
ثغرة أمنية في Mediaserver تؤدي إلى إساءة استخدام الأذونات المميزة وعالية المستوى
يمكن أن تؤدي ثغرة أمنية في Mediaserver تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن وصول على الجهاز إلى إمكانات متقدّمة لا يمكن عادةً لتطبيق تابع لجهة خارجية الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3870 | A-29421804 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 15 حزيران (يونيو) 2016 |
| CVE-2016-3871 | A-29422022 [2] [3] | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 15 حزيران (يونيو) 2016 |
| CVE-2016-3872 | A-29421675 [2] | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 15 حزيران (يونيو) 2016 |
ثغرة تصعيد الامتيازات في عملية تشغيل الجهاز
يمكن أن يؤدي الحصول على امتيازات إضافية أثناء تسلسل بدء التشغيل إلى السماح لمهاجم محلي ضار بالتشغيل في الوضع الآمن حتى إذا كان هذا الوضع غير مفعَّل. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتيح تجاوز متطلبات تفاعل المستخدمين على الجهاز لتعديل أي إعدادات أمان أو إعدادات مطوّر.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3875 | A-26251884 | عالية | لا شيء* | 6.0 و6.0.1 | Google فقط |
* لا تتأثّر هذه الثغرة الأمنية بأجهزة Nexus المتوافقة التي تعمل بنظام التشغيل Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في "الإعدادات" تتيح تصعيد الامتيازات
يمكن أن يؤدي رفع مستوى الأذونات في "الإعدادات" إلى السماح لمهاجم ضار محلي بال booted إلى الوضع الآمن حتى إذا كان غير مفعَّل. تم تصنيف هذه المشكلة على أنّها عالية الخطورة لأنّها تتيح تجاوز متطلبات تفاعل المستخدمين على الجهاز لإجراء أي تعديلات على إعدادات المطوّر أو الأمان.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3876 | A-29900345 | عالية | كل أجهزة Nexus | 6.0 و6.0.1 و7.0 | Google فقط |
ثغرة أمنية في Mediaserver تؤدي إلى حجب الخدمة
يمكن أن تسمح ثغرة رفض الخدمة في Mediaserver للمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3899 | A-29421811 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 16 حزيران (يونيو) 2016 |
| CVE-2016-3878 | A-29493002 | عالية | جميع أجهزة Nexus* | 6.0 و6.0.1 | 17 حزيران (يونيو) 2016 |
| CVE-2016-3879 | A-29770686 | عالية | جميع أجهزة Nexus* | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 25 حزيران (يونيو) 2016 |
| CVE-2016-3880 | A-25747670 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | Google فقط |
| CVE-2016-3881 | A-30013856 | عالية | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | Google فقط |
* لا تتأثّر هذه الثغرة الأمنية بأجهزة Nexus المتوافقة التي تعمل بنظام التشغيل Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في "الهاتف" تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي إحدى الثغرات الأمنية المتعلّقة برفع الأذونات في مكوّن "الهاتف" إلى السماح لتطبيق ضار محلي بإرسال رسائل قصيرة SMS برسوم إضافية بدون إذن. تم تصنيف هذه الثغرة على أنّها "متوسطة الخطورة" لأنّه يمكن استخدامها للحصول على إمكانات متقدّمة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3883 | A-28557603 | متوسط | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 3 أيار (مايو) 2016 |
ثغرة أمنية تؤدي إلى الحصول على امتيازات مميزة في خدمة "مدير الإشعارات"
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في خدمة "مدير الإشعارات" إلى تمكين تطبيق ضار على الجهاز من تجاوز إجراءات الحماية في نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّها تؤدي إلى تجاوز متطلبات تفاعل المستخدم على الجهاز، مثل الوصول إلى وظائف تتطلّب عادةً بدء المستخدمين لها أو إذناتهم.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3884 | A-29421441 | متوسط | كل أجهزة Nexus | 6.0 و6.0.1 و7.0 | 15 حزيران (يونيو) 2016 |
ثغرة أمنية في Debuggerd تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في أداة تصحيح أخطاء Android المدمجة إلى تفعيل تطبيق ضار محلي لتنفيذ رمز عشوائي ضمن سياق أداة تصحيح أخطاء Android. تم تصنيف هذه المشكلة على أنّها ذات خطورة متوسطة بسبب احتمالية تنفيذ رمز عشوائي محلي في عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3885 | A-29555636 | متوسط | كل أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 21 حزيران (يونيو) 2016 |
ثغرة أمنية في أداة ضبط واجهة مستخدم النظام تؤدي إلى تصعيد الأذونات
يمكن أن يؤدي الحصول على امتيازات إضافية في أداة "مُعدِّل واجهة المستخدم" إلى تمكين مستخدم محلي ضار من تعديل الإعدادات المحمية عندما يكون الجهاز مقفلاً. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّها تؤدي إلى تجاوز أذونات المستخدمين على الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3886 | A-30107438 | متوسط | كل أجهزة Nexus | 7 | 23 حزيران (يونيو) 2016 |
ثغرة أمنية في "الإعدادات" تتيح تصعيد الامتيازات
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الحصول على أذونات مميزة في "الإعدادات" إلى السماح لتطبيق محلي ضار بتجاوز وسائل الحماية في نظام التشغيل لإعدادات شبكة VPN. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّه يمكن استخدامها للوصول إلى بيانات خارج نطاق مستويات أذونات التطبيق.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3887 | A-29899712 | متوسط | كل أجهزة Nexus | 7 | Google فقط |
ثغرة أمنية في الرسائل القصيرة تتيح تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في خدمة الرسائل القصيرة SMS تؤدي إلى تصعيد الأذونات إلى تمكين مهاجم محلي من إرسال رسائل SMS مدفوعة قبل إدارة الجهاز. تم تصنيف هذا الجهاز على أنّه متوسط الخطورة بسبب إمكانية تجاوز ميزة "توفير الحماية بعد إعادة الضبط على الإعدادات الأصلية" التي من المفترض أن تمنع استخدام الجهاز قبل إعداده.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3888 | A-29420123 | متوسط | كل أجهزة Nexus | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | Google فقط |
ثغرة أمنية في "الإعدادات" تتيح تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في "الإعدادات" إلى تمكين أحد المهاجمين المحليين من تجاوز ميزة "توفير الحماية للجهاز بعد إعادة ضبطه على الإعدادات الأصلية" والوصول إلى الجهاز. تم تصنيف هذا الإجراء على أنّه متوسط الخطورة بسبب إمكانية تجاوز ميزة "توفير الحماية بعد إعادة الضبط على الإعدادات الأصلية"، ما قد يؤدي إلى إعادة ضبط الجهاز بنجاح ومحو جميع بياناته.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3889 | A-29194585 [2] | متوسط | كل أجهزة Nexus | 6.0 و6.0.1 و7.0 | Google فقط |
ثغرة أمنية في Java Debug Wire Protocol تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في Java Debug Wire Protocol تؤدي إلى الحصول على أذونات مميزة إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي في سياق تطبيق نظام مزوّد بأذونات مميزة. تم تصنيف هذه المشكلة على أنّها متوسطة الصعوبة لأنّها تتطلّب ضبط إعدادات غير شائعة على الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3890 | A-28347842 [2] | متوسط | لا شيء* | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | Google فقط |
* لا تتأثّر هذه الثغرة الأمنية بأجهزة Nexus المتوافقة التي تعمل بنظام التشغيل Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى الكشف عن المعلومات في Mediaserver
يمكن أن تؤدي إحدى نقاط الضعف في Mediaserver إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3895 | A-29983260 | متوسط | كل أجهزة Nexus | 6.0 و6.0.1 و7.0 | 4 تموز (يوليو) 2016 |
ثغرة أمنية في تطبيق AOSP Mail تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي ثغرة أمنية في AOSP Mail إلى السماح لتطبيق محلي ضار بالوصول إلى معلومات المستخدم الخاصة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى البيانات بشكل غير سليم بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3896 | A-29767043 | متوسط | لا شيء* | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 24 تموز (يوليو) 2016 |
* لا تتأثّر هذه الثغرة الأمنية بأجهزة Nexus المتوافقة التي تعمل بنظام التشغيل Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في شبكة Wi-Fi تؤدي إلى الإفصاح عن المعلومات
يمكن أن تسمح ثغرة أمنية في إعدادات Wi-Fi لتطبيق ما بالوصول إلى معلومات حسّاسة. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّه يمكن استخدامها للوصول إلى البيانات بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3897 | A-25624963 [2] | متوسط | لا شيء* | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 | 5 تشرين الثاني (نوفمبر) 2015 |
* لا تتأثّر هذه الثغرة الأمنية بأجهزة Nexus المتوافقة التي تعمل بنظام التشغيل Android 7.0 والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في خدمة الاتصال الهاتفي تؤدي إلى حجب الخدمة
يمكن أن تؤدي إحدى الثغرات الأمنية لرفض الخدمة في مكوّن "الهاتف" إلى السماح لتطبيق محلي ضار بمنع إجراء مكالمات TTY إلى 911 من شاشة مقفلة. تم تصنيف هذه المشكلة على أنّها "متوسطة" بسبب احتمالية حدوث رفض الخدمة في إحدى الوظائف المهمة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3898 | A-29832693 | متوسط | كل أجهزة Nexus | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 28 حزيران (يونيو) 2016 |
مستوى رمز تصحيح الأمان في 05/09/2016: تفاصيل الثغرة الأمنية
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 05-09-2016. يتضمّن الجدول وصفًا للمشكلة وسبب خطورتها، وجدولاً يتضمّن معرّف CVE والمراجع المرتبطة به والحدّ الأقصى لمستوى الخطورة وأجهزة Nexus التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيثما ينطبق ذلك) وتاريخ الإبلاغ عن المشكلة. عندما يكون ذلك متاحًا، سنربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة التغييرات في AOSP. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في نظام الأمان الفرعي للنواة تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في نظام الأمان الفرعي للنواة إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لهجوم دائم محلي، ما قد يتطلّب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9529 | A-29510361 | حرِج | Nexus 5 وNexus 6 وNexus 9 وNexus Player وAndroid One | 6 كانون الثاني (يناير) 2015 |
| CVE-2016-4470 | A-29823941 | حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player | 15 حزيران (يونيو) 2016 |
ثغرة تسمح برفع مستوى الأذونات في النظام الفرعي لشبكة النواة
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في النظام الفرعي للشبكة في kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لهجوم دائم محلي، ما قد يتطلّب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2013-7446 | A-29119002 | حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C Android One | 18 تشرين الثاني (نوفمبر) 2015 |
ثغرة تسمح برفع مستوى الأذونات في نظام netfilter الفرعي للنواة
يمكن أن تؤدي ثغرة أمنية في نظام netfilter الفرعي للنواة إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لهجوم دائم محلي، ما قد يتطلّب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3134 | A-28940694 | حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C Android One | 9 آذار (مارس) 2016 |
ثغرة أمنية في برنامج تشغيل USB الخاص بالنواة تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل USB الخاص بالنواة إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3951 | A-28744625 | حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C Android One | 6 نيسان (أبريل) 2016 |
ثغرة أمنية في نظام الصوت الفرعي للنواة تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في نظام الصوت الفرعي للنواة إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-4655 | A-29916012 | عالية | Nexus 5 وNexus 6 وNexus 9 وNexus Player | 26 حزيران (يونيو) 2014 |
ثغرة أمنية في أداة فك ترميز ASN.1 في kernel تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في أداة فك ترميز ASN.1 في نواة النظام إلى منح تطبيق ضار محلي إذن تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2053 | A-28751627 | عالية | Nexus 5X وNexus 6P | 25 كانون الثاني (يناير) 2016 |
ثغرة أمنية في واجهة اللاسلكي من Qualcomm تؤدي إلى تصعيد الأذونات
ثغرة أمنية لرفع مستوى الأذونات في طبقة واجهة الراديو من Qualcomm يمكن أن تتيح لتطبيق ضار على الجهاز تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3864 | A-28823714* QC-CR#913117 |
عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وAndroid One | 29 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل النظام الفرعي من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في الحصول على أذونات مميزة في برنامج تشغيل النظام الفرعي من Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3858 | A-28675151 QC-CR#1022641 |
عالية | Nexus 5X وNexus 6P | 9 أيار (مايو) 2016 |
ثغرة أمنية في برنامج تشغيل شبكة kernel تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل شبكة kernel إلى السماح لتطبيق ضار محلي بتنفيذ رمز برمجي عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-4805 | A-28979703 | عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 | 15 أيار (مايو) 2016 |
ثغرة أمنية في برنامج تشغيل شاشة Synaptics التي تعمل باللمس تؤدي إلى تصعيد الأذونات
هناك ثغرة أمنية في برنامج تشغيل شاشة لمس Synaptics تؤدي إلى منح أذونات مميزة وعالية المستوى، ما يمكن أن يتيح لتطبيق ضار محلي تنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3865 | A-28799389* | عالية | Nexus 5X وNexus 9 | 16 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل كاميرا Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل كاميرا Qualcomm لرفع مستوى الأذونات إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3859 | A-28815326* QC-CR#1034641 |
عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P | 17 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm تتيح تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3866 | A-28868303* QC-CR#1032820 |
عالية | Nexus 5X وNexus 6 وNexus 6P | 18 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل Qualcomm IPA تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Qualcomm IPA إلى منح تطبيق ضار على الجهاز إمكانية تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3867 | A-28919863* QC-CR#1037897 |
عالية | Nexus 5X وNexus 6P | 21 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل الطاقة من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في برنامج تشغيل الطاقة من Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3868 | A-28967028* QC-CR#1032875 |
عالية | Nexus 5X وNexus 6P | 25 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تتيح تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3869 | A-29009982* B-RB#96070 |
عالية | Nexus 5 وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C | 27 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في نظام ملفات eCryptfs في kernel تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في نظام الملفات eCryptfs في kernel إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-1583 | A-29444228 النواة الأساسية |
عالية | Pixel C | 1 حزيران (يونيو) 2016 |
ثغرة أمنية في نواة NVIDIA تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في نواة NVIDIA تؤدي إلى الحصول على أذونات مميزة إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق ملف برمجي في ملف برمجي. تم تصنيف هذه المشكلة على أنّها ذات خطورة عالية لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3873 | A-29518457* N-CVE-2016-3873 |
عالية | Nexus 9 | 20 حزيران (يونيو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا بالوصول إلى ميزات بمستوى امتياز أعلى، ما يتيح له تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3874 | A-29944562 QC-CR#997797 [2] |
عالية | Nexus 5X | 1 تموز (يوليو) 2016 |
ثغرة أمنية تؤدي إلى حجب الخدمة في النظام الفرعي لشبكة النواة
يمكن أن تؤدي ثغرة الخدمة المرفوضة في النظام الفرعي لشبكة النواة إلى تمكين المهاجم من تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها عالية نظرًا لاحتمالية حدوث هجوم حجب خدمة مؤقت عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-1465 | A-29506807 | عالية | Nexus 5 وNexus 6 وNexus 9 وNexus Player وPixel C وAndroid One | 3 شباط (فبراير) 2015 |
| CVE-2015-5364 | A-29507402 | عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C Android One | 30 حزيران (يونيو) 2015 |
ثغرة أمنية تؤدي إلى حجب الخدمة في نظام الملفات ext4 للنواة
يمكن أن تؤدي إحدى الثغرات الأمنية المتعلّقة برفض الخدمة في نظام ملفات ext4 الخاص بالنواة إلى تمكين أحد المهاجمين من تنفيذ هجوم دائم لرفض الخدمة على الجهاز، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنّها عالية بسبب احتمالية حدوث رفض دائم للخدمات على مستوى الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8839 | A-28760453* | عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C وAndroid One | 4 نيسان (أبريل) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج تشغيل Qualcomm SPMI تؤدي إلى الإفصاح عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في ميزة الإفصاح عن المعلومات في برنامج تشغيل Qualcomm SPMI إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3892 | A-28760543* QC-CR#1024197 |
متوسط | Nexus 5 وNexus 5X وNexus 6 وNexus 6P | 13 أيار (مايو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة أمنية في برنامج ترميز الصوت من Qualcomm تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي ثغرة أمنية في برنامج ترميز الصوت من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3893 | A-29512527 QC-CR#856400 |
متوسط | Nexus 6P | 20 حزيران (يونيو) 2016 |
ثغرة أمنية في عنصر DMA من Qualcomm تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في ميزة الإفصاح عن المعلومات في مكوّن DMA من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3894 | A-29618014* QC-CR#1042033 |
متوسط | Nexus 6 | 23 حزيران (يونيو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع "مطوّرو تطبيقات Google".
ثغرة في نظام الشبكات الفرعي للنواة تؤدي إلى الإفصاح عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في النظام الفرعي لشبكة النواة إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-4998 | A-29637687 النواة الأساسية [2] |
متوسط | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C Android One | 24 حزيران (يونيو) 2016 |
ثغرة أمنية تؤدي إلى حجب الخدمة في النظام الفرعي لشبكة النواة
يمكن أن تؤدي ثغرة أمنية لرفض الخدمة في النظام الفرعي لشبكة kernel إلى تمكين المهاجم من حظر الوصول إلى إمكانات Wi-Fi.تم تصنيف هذه المشكلة على أنّها متوسطة بسبب احتمالية حدوث رفض مؤقت للخدمة عن بُعد لإمكانات Wi-Fi.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-2922 | A-29409847 | متوسط | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وNexus Player وPixel C Android One | 4 نيسان (أبريل) 2015 |
الثغرات الأمنية في مكونات Qualcomm
يحتوي الجدول أدناه على نقاط ضعف في الأمان تؤثر في مكونات Qualcomm، ويُحتمل أن تشمل أداة تحميل التشغيل وبرنامج تشغيل الكاميرا وبرنامج تشغيل الأحرف وبرنامج تشغيل الشبكة وبرنامج تشغيل الصوت وبرنامج تشغيل الفيديو.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2469 | QC-CR#997025 | عالية | بدون تحديد نمط | حزيران (يونيو) 2016 |
| CVE-2016-2469 | QC-CR#997015 | متوسط | بدون تحديد نمط | حزيران (يونيو) 2016 |
مستوى رمز تصحيح الأمان في 6 أيلول (سبتمبر) 2016: تفاصيل الثغرة الأمنية
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 6 أيلول (سبتمبر) 2016. يتضمّن الجدول وصفًا للمشكلة وسبب خطورتها، وجدولاً يتضمّن معرّف CVE والمراجع المرتبطة به والحدّ الأقصى لمستوى الخطورة وأجهزة Nexus التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيثما ينطبق ذلك) وتاريخ الإبلاغ عن المشكلة. عندما يكون ذلك متاحًا، سنربط التغيير العلني الذي عالج المشكلة بمعرّف الخطأ، مثل قائمة التغييرات في AOSP. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في نظام التشغيل تؤدي إلى تصعيد الأذونات في نظام الذاكرة المشترَكة للنواة
يمكن أن تؤدي ثغرة أمنية في نظام الذاكرة المشتركة للنواة تؤدي إلى الحصول على أذونات مميزة إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لهجوم دائم محلي، ما قد يتطلّب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 |
حرِج | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وAndroid One | 26 تموز (يوليو) 2016 |
ثغرة أمنية في مكوّن الشبكات من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في مكوّن شبكة Qualcomm إلى تمكين تطبيق ضار على الجهاز من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Nexus التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 |
عالية | Nexus 5 وNexus 5X وNexus 6 وNexus 6P وAndroid One | 4 شباط (فبراير) 2016 |
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدّثًا لحلّ هذه المشاكل؟
تعالج مستويات تصحيحات الأمان بتاريخ 1 أيلول (سبتمبر) 2016 أو الإصدارات الأحدث جميع المشاكل المرتبطة بشدَّة تصحيح الأمان بتاريخ 1 أيلول (سبتمبر) 2016. تعالج مستويات تصحيحات الأمان بتاريخ 05/09/2016 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى سلسلة تصحيح الأمان بتاريخ 05/09/2016. تعالج مستويات تصحيحات الأمان بتاريخ 06/09/2016 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى سلسلة تصحيح الأمان بتاريخ 06/09/2016. يُرجى الرجوع إلى مركز المساعدة للحصول على تعليمات حول كيفية التحقّق من مستوى تصحيح الأمان. على مصنعي الأجهزة الذين يُدرِجون هذه التعديلات ضبط مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-09-01] أو [ro.build.version.security_patch]:[2016-09-05] أو [ro.build.version.security_patch]:[2016-09-06].
2. لماذا تتضمّن هذه النشرة الإخبارية ثلاث سلاسل رمز تصحيح أمان؟
تتضمّن هذه النشرة الإخبارية ثلاث سلاسل مستويات رمز تصحيح الأمان ليتمكّن شركاء Android من إصلاح مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بحلّ جميع المشاكل الواردة في هذه النشرة واستخدام أحدث سلسلة لمستوى رمز تصحيح الأمان.
يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 6 أيلول (سبتمبر) 2016 أو إصدارًا أحدث جميع الرموز الإصلاحية السارية في نشرة الأمان هذه (والسابقة). تم إنشاء مستوى التصحيح هذا لمعالجة المشاكل التي تم اكتشافها بعد إرسال إشعار أولاً إلى الشركاء بشأن معظم المشاكل الواردة في هذه النشرة.
يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 أيلول (سبتمبر) 2016 جميع المشاكل المرتبطة بهذا المستوى ومستوى تصحيح الأمان في 1 أيلول (سبتمبر) 2016 وإصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة. قد تتضمّن أيضًا الأجهزة التي تستخدم مستوى رمز تصحيح الأمان في 5 أيلول (سبتمبر) 2016 مجموعة فرعية من الإصلاحات المرتبطة بمستوى رمز تصحيح الأمان في 6 أيلول (سبتمبر) 2016.
يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 أيلول (سبتمبر) 2016 جميع المشاكل المرتبطة بهذا المستوى من تصحيح الأمان بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة. قد تتضمّن أيضًا الأجهزة التي تستخدم مستوى رمز تصحيح الأمان بتاريخ 1 أيلول (سبتمبر) 2016 مجموعة فرعية من الإصلاحات المرتبطة بمستويات رموز تصحيح الأمان بتاريخ 5 أيلول (سبتمبر) 2016 و6 أيلول (سبتمبر) 2016.
3. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟
في أقسام تفاصيل ثغرات الأمان بتاريخ 01/09/2016 و 05/09/2016 و 06/09/2016، يحتوي كل جدول على عمود أجهزة Nexus التي تم تحديثها الذي يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يتضمّن هذا العمود بضعة خيارات:
- جميع أجهزة Nexus: إذا كانت المشكلة تؤثر في جميع أجهزة Nexus، سيعرض الجدول "جميع أجهزة Nexus" في عمود أجهزة Nexus التي تم تحديثها. تشمل فئة "جميع أجهزة Nexus" الأجهزة التالية المتوافقة: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) وNexus 9 وAndroid One وNexus Player وPixel C.
- بعض أجهزة Nexus: إذا لم تؤثّر المشكلة في جميع أجهزة Nexus، يتم إدراج أجهزة Nexus المتأثّرة في عمود أجهزة Nexus التي تم تحديثها.
- لا تتوفّر أجهزة Nexus: إذا لم تتأثّر المشكلة بأي أجهزة Nexus تعمل بالإصدار 7.0 من نظام التشغيل Android، سيظهر في الجدول الخيار "لا تتوفّر" في عمود أجهزة Nexus التي تم تحديثها.
4. ما هي العناصر التي ترتبط بها الإدخالات في عمود "المراجع"؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم ربط هذه البادئات على النحو التالي:
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
إصدارات
- 6 أيلول (سبتمبر) 2016: تم نشر النشرة.
- 7 أيلول (سبتمبر) 2016: تم تعديل النشرة لتضمين روابط AOSP.
- 12 أيلول (سبتمبر) 2016: تم تعديل النشرة لتعديل مصدر CVE-2016-3861 وإزالة CVE-2016-3877.