تم النشر في 03 أكتوبر 2016 | تم التحديث في 04 أكتوبر 2016
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لـ Nexus على موقع Google Developer . تعالج مستويات تصحيح الأمان بتاريخ 05 أكتوبر 2016 أو ما بعده هذه المشكلات. راجع الوثائق لمعرفة كيفية التحقق من مستوى التصحيح الأمني. ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني بتاريخ 05 أكتوبر 2016.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 06 سبتمبر 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.
أخطر هذه المشكلات هي الثغرات الأمنية الخطيرة في التعليمات البرمجية الخاصة بالجهاز والتي يمكن أن تمكن تنفيذ التعليمات البرمجية عن بعد داخل سياق النواة، مما يؤدي إلى احتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز . يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 01/10/2016 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بتاريخ 01/10/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- 05/10/2016 : إكمال سلسلة مستوى التصحيح الأمني. تشير سلسلة مستوى تصحيح الأمان هذه إلى أن كافة المشكلات المرتبطة بـ 01/10/2016 و05/10/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة) قد تمت معالجتها.
- ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني بتاريخ 05 أكتوبر 2016.
عمليات تخفيف خدمات Android وGoogle
هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو أمر مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
ونود أن نشكر هؤلاء الباحثين على مساهماتهم:
- أندريه تيكسيرا ريزو: CVE-2016-3882
- أندريا بيوندو: CVE-2016-3921
- دانيال ميكاي من شركة Copperhead Security: CVE-2016-3922
- ديمتري فيوكوف من جوجل: CVE-2016-7117
- دوسومدر: CVE-2016-3931
- Ecular Xu (徐健) من Trend Micro: CVE-2016-3920
- Gengjia Chen ( @chengjia4574 ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-6690، CVE-2016-3901، CVE-2016-6672، CVE-2016-3940، CVE-2016-3935
- Hang Zhang و Dongdong She و Zhiyun Qian من جامعة كاليفورنيا في ريفرسايد: CVE-2015-8950
- Hao Chen من Alpha Team، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- جان هورن من Google Project Zero: CVE-2016-3900، CVE-2016-3885
- جيسون روجينا : CVE-2016-3917
- Jianqiang Zhao ( @jianqiangzhao ) و pjf of IceSword Lab، Qihoo 360: CVE-2016-6688، CVE-2016-6677، CVE-2016-6673، CVE-2016-6687، CVE-2016-6686، CVE-2016-6681 ، CVE-2016-6682، CVE-2016-3930
- جوشوا دريك ( @jduck ): CVE-2016-3920
- Maciej Szawłowski من فريق أمان Google: CVE-2016-3905
- العلامة التجارية لـ Google Project Zero: CVE-2016-6689
- ميشال بدنارسكي : CVE-2016-3914، CVE-2016-6674، CVE-2016-3911، CVE-2016-3912
- Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-3933، CVE-2016-3932
- Nightwatch Cybersecurity Research ( @nightwatchcyber ): CVE-2016-5348
- روي هاي، باحث في IBM Security X-Force: CVE-2016-6678
- صموئيل تان من جوجل: CVE-2016-3925
- سكوت باور ( @ScottyBauer1 ): CVE-2016-3936، CVE-2016-3928، CVE-2016-3902، CVE-2016-3937، CVE-2016-6696
- Seven Shen ( @lingtongshen ) من فريق أبحاث Trend Micro Mobile Threat Research: CVE-2016-6685، CVE-2016-6683، CVE-2016-6680، CVE-2016-6679، CVE-2016-3903، CVE-2016-6693، CVE-2016-6694، CVE-2016-6695
- Wenke Dou ، وMingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-3909
- Wenlin Yang وGuang Gong (龚广) ( @oldfresher ) من Alpha Team، Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Wish Wu (吴潍浠) ( @wish_wu) من شركة Trend Micro Inc .: CVE-2016-3924، CVE-2016-3915، CVE-2016-3916، CVE-2016-3910
- Yong Shi من فريق Eagleye، SCC، Huawei: CVE-2016-3938
- Zhanpeng Zhao (行之) ( @0xr0ot ) من Security Research Lab، Cheetah Mobile : CVE-2016-3908
01-10-2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-10-01. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
رفع ثغرة الامتياز في ServiceManager
قد يؤدي رفع الامتياز في ServiceManager إلى تمكين تطبيق ضار محلي من تسجيل خدمات عشوائية يتم توفيرها عادةً من خلال عملية مميزة، مثل system_server. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لاحتمال انتحال هوية الخدمة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3900 | ا-29431260 [ 2 ] | عالي | كل نيكزس | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 15 يونيو 2016 |
رفع ثغرة الامتياز في خدمة إعدادات القفل
قد تؤدي زيادة ثغرة الامتياز في خدمة إعدادات القفل إلى تمكين تطبيق ضار محلي من مسح رقم التعريف الشخصي أو كلمة المرور للجهاز. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم لأي تعديلات على إعدادات المطور أو الأمان.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3908 | أ-30003944 | عالي | كل نيكزس | 6.0، 6.0.1، 7.0 | 6 يوليو 2016 |
رفع ثغرة الامتياز في Mediaserver
قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3909 | ا-30033990 [ 2 ] | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 8 يوليو 2016 |
| CVE-2016-3910 | أ-30148546 | عالي | كل نيكزس | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 13 يوليو 2016 |
| CVE-2016-3913 | أ-30204103 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 18 يوليو 2016 |
رفع ثغرة الامتياز في عملية Zygote
قد يؤدي رفع الامتياز في عملية Zygote إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3911 | أ-30143607 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 12 يوليو 2016 |
رفع مستوى الضعف في الامتيازات في واجهات برمجة التطبيقات (APIs) الإطارية
يمكن أن تؤدي زيادة ثغرة الامتيازات في واجهات برمجة التطبيقات (APIs) الخاصة بإطار العمل إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3912 | أ-30202481 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 17 يوليو 2016 |
ارتفاع ثغرة الامتياز في الاتصالات الهاتفية
قد تؤدي زيادة ثغرة الامتياز في مكون الاتصال الهاتفي إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3914 | أ-30481342 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 28 يوليو 2016 |
رفع ثغرة الامتياز في خدمة الكاميرا
قد تؤدي زيادة ثغرة الامتيازات في خدمة الكاميرا إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3915 | أ-30591838 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 1 أغسطس 2016 |
| CVE-2016-3916 | أ-30741779 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 2 أغسطس 2016 |
رفع ثغرة الامتياز في تسجيل الدخول ببصمة الإصبع
قد تؤدي زيادة ثغرة الامتياز أثناء تسجيل الدخول ببصمة الإصبع إلى تمكين مالك الجهاز الضار من تسجيل الدخول كحساب مستخدم مختلف على الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال تجاوز شاشة القفل.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3917 | أ-30744668 | عالي | كل نيكزس | 6.0.1، 7.0 | 5 أغسطس 2016 |
ثغرة الكشف عن المعلومات في بريد AOSP
قد تؤدي ثغرة الكشف عن المعلومات في AOSP Mail إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3918 | أ-30745403 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 5 أغسطس 2016 |
الحرمان من ثغرة أمنية في خدمة الواي فاي
قد تؤدي ثغرة رفض الخدمة في شبكة Wi-Fi إلى تمكين مهاجم محلي قريب من إنشاء نقطة اتصال والتسبب في إعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3882 | أ-29464811 | عالي | كل نيكزس | 6.0، 6.0.1، 7.0 | 17 يونيو 2016 |
الحرمان من ثغرة الخدمة في نظام تحديد المواقع
قد تؤدي ثغرة رفض الخدمة في مكون نظام تحديد المواقع العالمي (GPS) إلى تمكين مهاجم بعيد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-5348 | أ-29555864 | عالي | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 20 يونيو 2016 |
الحرمان من ثغرة الخدمة في Mediaserver
قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3920 | أ-30744884 | عالي | كل نيكزس | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 5 أغسطس 2016 |
رفع مستوى الضعف في الامتيازات في Framework Lister
قد تؤدي زيادة ثغرة الامتيازات في Framework Lister إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3921 | أ-29831647 | معتدل | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 25 يونيو 2016 |
ارتفاع ثغرة الامتياز في الاتصالات الهاتفية
قد تؤدي زيادة ثغرة الامتيازات في الاتصالات الهاتفية إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3922 | أ-30202619 | معتدل | كل نيكزس | 6.0، 6.0.1، 7.0 | 17 يوليو 2016 |
رفع مستوى الضعف في الامتيازات في خدمات إمكانية الوصول
قد تؤدي زيادة ثغرة الامتيازات في خدمات إمكانية الوصول إلى تمكين تطبيق ضار محلي من إنشاء أحداث لمس غير متوقعة على الجهاز مما قد يؤدي إلى قبول التطبيقات لمربعات حوار الأذونات دون موافقة صريحة من المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم التي تتطلب عادةً بدء المستخدم أو إذن المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3923 | أ-30647115 | معتدل | كل نيكزس | 7.0 | جوجل الداخلية |
ثغرة الكشف عن المعلومات في Mediaserver
يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3924 | أ-30204301 | معتدل | كل نيكزس | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 18 يوليو 2016 |
الحرمان من ثغرة أمنية في خدمة الواي فاي
قد تؤدي ثغرة رفض الخدمة في خدمة Wi-Fi إلى تمكين تطبيق ضار محلي لمنع الاتصال عبر Wi-Fi. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمالية رفض الخدمة لوظائف التطبيق.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-3925 | أ-30230534 | معتدل | كل نيكزس | 6.0، 6.0.1، 7.0 | جوجل الداخلية |
05/10/2016 مستوى التصحيح الأمني — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-10-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في وحدة فك ترميز kernel ASN.1
يمكن أن تؤدي زيادة ثغرة الامتياز في وحدة فك ترميز kernel ASN.1 إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-0758 | أ-29814470 نواة المنبع | شديد الأهمية | نيكزس 5X، نيكزس 6P | 12 مايو 2016 |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في النظام الفرعي لشبكات kernel
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في النظام الفرعي لشبكة kernel إلى تمكين المهاجم عن بعد من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-7117 | أ-30515201 نواة المنبع | شديد الأهمية | كل نيكزس | جوجل الداخلية |
رفع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3928 | أ-30019362* م-ALPS02829384 | شديد الأهمية | لا أحد | 6 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الذاكرة المشتركة لـ kernel
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الذاكرة المشتركة لـ kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5340 | أ-30652312 مراقبة الجودة-CR#1008948 | شديد الأهمية | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 26 يوليو 2016 |
ثغرات أمنية في مكونات كوالكوم
يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرات الأمان Qualcomm AMSS لشهر مارس 2016 وQualcomm AMSS لشهر أبريل 2016.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3926 | أ-28823953* | شديد الأهمية | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P | كوالكوم الداخلية |
| CVE-2016-3927 | أ-28823244* | شديد الأهمية | نيكزس 5X، نيكزس 6P | كوالكوم الداخلية |
| CVE-2016-3929 | أ-28823675* | عالي | نيكزس 5X، نيكزس 6P | كوالكوم الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في مكون شبكة Qualcomm
قد تؤدي زيادة ثغرة الامتياز في مكون شبكة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-2059 | أ-27045580 مراقبة الجودة-CR#974577 | عالي | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 4 فبراير 2016 |
رفع ثغرة الامتياز في برنامج تشغيل اختبار NVIDIA MMC
يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج تشغيل اختبار NVIDIA MMC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3930 | أ-28760138* N-CVE-2016-3930 | عالي | نيكزس 9 | 12 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm QSEE Communicator
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm QSEE Communicator إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3931 | أ-29157595 مراقبة الجودة-CR#1036418 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 4 يونيو 2016 |
رفع ثغرة الامتياز في Mediaserver
قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3932 | أ-29161895 م-ALPS02770870 | عالي | لا أحد | 6 يونيو 2016 |
| CVE-2016-3933 | أ-29421408* N-CVE-2016-3933 | عالي | نيكزس 9، بكسل سي | 14 يونيو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3903 | أ-29513227 مراقبة الجودة-CR#1040857 | عالي | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 20 يونيو 2016 |
| CVE-2016-3934 | أ-30102557 مراقبة الجودة-CR#789704 | عالي | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 12 يوليو 2016 |
رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8951 | أ-30142668 مراقبة الجودة-CR#948902 مراقبة الجودة-CR#948902 | عالي | نيكزس 5X، نيكزس 6P، أندرويد وان | 20 يونيو 2016 |
رفع ثغرة الامتياز في برنامج تشغيل محرك التشفير Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل محرك التشفير Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3901 | أ-29999161 مراقبة الجودة-CR#1046434 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 6 يوليو 2016 |
| CVE-2016-3935 | أ-29999665 مراقبة الجودة-CR#1046507 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 6 يوليو 2016 |
رفع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3936 | أ-30019037* م-ALPS02829568 | عالي | لا أحد | 6 يوليو 2016 |
| CVE-2016-3937 | أ-30030994* م-ALPS02834874 | عالي | لا أحد | 7 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3938 | أ-30019716 مراقبة الجودة-CR#1049232 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 7 يوليو 2016 |
| CVE-2016-3939 | أ-30874196 مراقبة الجودة-CR#1001224 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 15 أغسطس 2016 |
رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3940 | أ-30141991* | عالي | نيكسس 6 بي، أندرويد وان | 12 يوليو 2016 |
| CVE-2016-6672 | أ-30537088* | عالي | نيكزس 5X | 31 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6673 | أ-30204201* N-CVE-2016-6673 | عالي | نيكزس 9 | 17 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في system_server
قد تؤدي زيادة ثغرة الامتيازات في system_server إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6674 | أ-30445380* | عالي | كل نيكزس | 26 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3905 | أ-28061823 مراقبة الجودة-CR#1001449 | عالي | نيكزس 5X | جوجل الداخلية |
| CVE-2016-6675 | أ-30873776 مراقبة الجودة-CR#1000861 | عالي | نيكزس 5X، أندرويد وان | 15 أغسطس 2016 |
| CVE-2016-6676 | أ-30874066 مراقبة الجودة-CR#1000853 | عالي | نيكزس 5X، أندرويد وان | 15 أغسطس 2016 |
| CVE-2016-5342 | أ-30878283 مراقبة الجودة-CR#1032174 | عالي | أندرويد وان | 15 أغسطس 2016 |
رفع ثغرة الامتياز في النظام الفرعي لأداء kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8955 | أ-29508816 نواة المنبع | عالي | نيكزس 5X، نيكزس 6P، بكسل C، أندرويد وان | جوجل الداخلية |
ثغرة أمنية في الكشف عن المعلومات في نظام kernel ION الفرعي
يمكن أن تؤدي ثغرة الكشف عن المعلومات في نظام kernel ION الفرعي إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8950 | أ-29795245 مراقبة الجودة-CR#1041735 | عالي | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P | 12 مايو 2016 |
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6677 | أ-30259955* N-CVE-2016-6677 | عالي | نيكزس 9 | 19 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل شخصية Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل أحرف Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً اختراق عملية ذات امتيازات، ولا يمكن الوصول إلى التعليمات البرمجية الضعيفة حاليًا.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-0572 | أ-29156684 مراقبة الجودة-CR#848489 | معتدل | نيكزس 5X، نيكزس 6P | 28 مايو 2016 |
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-3860 | أ-29323142 مراقبة الجودة-CR#1038127 | معتدل | نيكزس 5X، نيكزس 6P، أندرويد وان | 13 يونيو 2016 |
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Motorola USBNet
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Motorola USBNet إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6678 | أ-29914434* | معتدل | نيكزس 6 | 30 يونيو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات كوالكوم
يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات Qualcomm، بما في ذلك برنامج تشغيل الصوت وبرنامج تشغيل IPA وبرنامج تشغيل Wi-Fi، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6679 | أ-29915601 مراقبة الجودة-CR#1000913 [ 2 ] | معتدل | نيكزس 5X، أندرويد وان | 30 يونيو 2016 |
| CVE-2016-3902 | أ-29953313* مراقبة الجودة-CR#1044072 | معتدل | نيكزس 5X، نيكزس 6P، | 2 يوليو 2016 |
| CVE-2016-6680 | أ-29982678* مراقبة الجودة-CR#1048052 | معتدل | نيكزس 5X، أندرويد وان | 3 يوليو 2016 |
| CVE-2016-6681 | أ-30152182 مراقبة الجودة-CR#1049521 | معتدل | نيكزس 5X، نيكزس 6P، أندرويد وان | 14 يوليو 2016 |
| CVE-2016-6682 | أ-30152501 مراقبة الجودة-CR#1049615 | معتدل | نيكزس 5X، نيكزس 6P، أندرويد وان | 14 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات النواة
يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات kernel، بما في ذلك Binder وSync وBluetooth وSound driver، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6683 | أ-30143283* | معتدل | كل نيكزس | 13 يوليو 2016 |
| CVE-2016-6684 | أ-30148243* | معتدل | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، أندرويد وان | 13 يوليو 2016 |
| CVE-2015-8956 | أ-30149612* | معتدل | نيكزس 5، نيكزس 6P، أندرويد وان | 14 يوليو 2016 |
| CVE-2016-6685 | أ-30402628* | معتدل | نيكزس 6P | 25 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في ملف تعريف NVIDIA
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في ملف تعريف NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6686 | أ-30163101* N-CVE-2016-6686 | معتدل | نيكزس 9 | 15 يوليو 2016 |
| CVE-2016-6687 | أ-30162222* N-CVE-2016-6687 | معتدل | نيكزس 9 | 15 يوليو 2016 |
| CVE-2016-6688 | أ-30593080* N-CVE-2016-6688 | معتدل | نيكزس 9 | 2 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة الكشف عن المعلومات في النواة
قد تؤدي الثغرة الأمنية في الكشف عن المعلومات في Binder إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6689 | أ-30768347* | معتدل | كل نيكزس | 9 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
الحرمان من ثغرة الخدمة في النظام الفرعي لشبكات kernel
قد تؤدي ثغرة رفض الخدمة في النظام الفرعي لشبكة kernel إلى تمكين المهاجم من حظر الوصول إلى اتصالات TCP والتسبب في رفض مؤقت للخدمة عن بعد. تم تصنيف هذه المشكلة على أنها متوسطة لأن الخدمات الخلوية لا تزال متاحة ولا يزال الجهاز قابلاً للاستخدام.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5696 | أ-30809774 نواة المنبع | معتدل | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان | 12 يوليو 2016 |
رفض ثغرة الخدمة في برنامج تشغيل الصوت kernel
قد تؤدي ثغرة رفض الخدمة في kernel إلى السماح لتطبيق ضار محلي بالتسبب في إعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنها منخفضة لأنها تمثل رفضًا مؤقتًا للخدمة.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6690 | أ-28838221* | قليل | نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس بلاير | 18 مايو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرات أمنية في مكونات كوالكوم
يحتوي الجدول أدناه على قائمة بالثغرات الأمنية التي تؤثر على مكونات Qualcomm.
| مكافحة التطرف العنيف | مراجع | خطورة | تم تحديث أجهزة Nexus | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6691 | مراقبة الجودة-CR#978452 | عالي | لا أحد | يوليو 2016 |
| CVE-2016-6692 | مراقبة الجودة-CR#1004933 | عالي | لا أحد | أغسطس 2016 |
| CVE-2016-6693 | مراقبة الجودة-CR#1027585 | عالي | لا أحد | أغسطس 2016 |
| CVE-2016-6694 | مراقبة الجودة-CR#1033525 | عالي | لا أحد | أغسطس 2016 |
| CVE-2016-6695 | مراقبة الجودة-CR#1033540 | عالي | لا أحد | أغسطس 2016 |
| CVE-2016-6696 | مراقبة الجودة-CR#1041130 | عالي | لا أحد | أغسطس 2016 |
| CVE-2016-5344 | مراقبة الجودة-CR#993650 | معتدل | لا أحد | أغسطس 2016 |
| CVE-2016-5343 | مراقبة الجودة-CR#1010081 | معتدل | لا أحد | أغسطس 2016 |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟
تتناول مستويات تصحيح الأمان 01-10-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 01-10-2016. تتناول مستويات تصحيح الأمان 05-10-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 05-10-2016. ارجع إلى مركز المساعدة للحصول على إرشادات حول كيفية التحقق من مستوى التصحيح الأمني. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-10-01] أو [ro.build.version.security_patch]:[2016-10-05].
2. لماذا تحتوي هذه النشرة على سلسلتين على مستوى التصحيح الأمني؟
تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث سلسلة لمستوى تصحيح الأمان.
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 أكتوبر 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في هذه النشرة الأمنية (والسابقة).
يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 أكتوبر 2016 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
3. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟
في قسمي تفاصيل الثغرات الأمنية 01/10/2016 و 05/10/2016 ، يحتوي كل جدول على عمود أجهزة Nexus المحدثة الذي يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus، فسيحتوي الجدول على "All Nexus" في عمود أجهزة Nexus المحدثة . يشمل "All Nexus" الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C.
- بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدثة .
- لا توجد أجهزة Nexus : إذا لم تتأثر أي أجهزة Nexus تعمل بنظام التشغيل Android 7.0 بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Nexus المحدثة .
4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟
قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:
| بادئة | مرجع |
|---|---|
| أ- | معرف خطأ أندرويد |
| مراقبة الجودة- | الرقم المرجعي لشركة كوالكوم |
| م- | الرقم المرجعي لميديا تيك |
| ن- | الرقم المرجعي لـ NVIDIA |
| ب- | الرقم المرجعي من برودكوم |
التنقيحات
- 03 أكتوبر 2016: نشر النشرة.
- 04 أكتوبر 2016: تمت مراجعة النشرة لتشمل روابط AOSP وإسنادات التحديث لـ CVE-2016-3920 وCVE-2016-6693 وCVE-2016-6694 وCVE-2016-6695 وCVE-2016-6696.