نشرة أمان Android — نوفمبر 2016

تم النشر في 07 نوفمبر 2016 | تم التحديث في 21 ديسمبر 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Google من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 06 نوفمبر 2016 أو ما بعده كل هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 20 أكتوبر 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • مع طرح أجهزة Pixel وPixel XL، أصبح المصطلح لجميع الأجهزة التي تدعمها Google هو "أجهزة Google" بدلاً من "أجهزة Nexus".
  • تحتوي هذه النشرة على ثلاثة مستويات من التصحيح الأمني ​​لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بشكل أسرع. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01-11-2016 : مستوى التصحيح الأمني ​​الجزئي. يشير مستوى تصحيح الأمان هذا إلى أن كافة المشكلات المرتبطة بتاريخ 01/11/2016 (وجميع مستويات تصحيح الأمان السابقة) قد تمت معالجتها.
    • 05-11-2016 : إكمال مستوى التصحيح الأمني. يشير مستوى تصحيح الأمان هذا إلى أنه تمت معالجة كافة المشكلات المرتبطة بـ 01/11/2016 و05/11/2016 (وجميع مستويات تصحيح الأمان السابقة).
    • مستويات تصحيح الأمان الإضافية

      يتم توفير مستويات تصحيح الأمان الإضافية لتحديد الأجهزة التي تحتوي على إصلاحات للمشكلات التي تم الكشف عنها علنًا بعد تحديد مستوى التصحيح. معالجة هذه الثغرات الأمنية التي تم الكشف عنها مؤخرًا ليست مطلوبة حتى مستوى التصحيح الأمني ​​2016-12-01.

      • 06-11-2016 : يشير مستوى التصحيح الأمني ​​هذا إلى أن الجهاز قد عالج جميع المشكلات المرتبطة بـ 05-11-2016 وCVE-2016-5195، والتي تم الكشف عنها علنًا في 19 أكتوبر 2016.
  • ستتلقى أجهزة Google المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني ​​بتاريخ 05 نوفمبر 2016.

عمليات تخفيف خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة، مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • أبهيشيك آريا، وأوليفر تشانغ، ومارتن باربيلا من فريق أمان Google Chrome: CVE-2016-6722
  • أندريه كابيشنيكوف وميريام غيرشينسون من Google: CVE-2016-6703
  • آو وانغ ( @ArayzSegment ) وزينو هان من PKAV ، Silence Information Technology: CVE-2016-6700، CVE-2016-6702
  • Askyshang من قسم منصة الأمان، Tencent: CVE-2016-6713
  • بيلي لاو من Android Security: CVE-2016-6737
  • كونستانتينوس باتساكيس وإيفثيميوس أليبيس من جامعة بيرايوس: CVE-2016-6715
  • dragonltx من فريق Alibaba Mobile Security: CVE-2016-6714
  • جال بنياميني من Project Zero: CVE-2016-6707، CVE-2016-6717
  • Gengjia Chen ( @chengjia4574 ) و pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-6725، CVE-2016-6738، CVE-2016-6740، CVE-2016-6741، CVE-2016-6742، CVE-2016-6744، CVE-2016-6745، CVE-2016-3906
  • Guang Gong (龚广) ( @oldfresher ) من Alpha Team، Qihoo 360 Technology Co. Ltd .: CVE-2016-6754
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-6739، CVE-2016-3904، CVE-2016-3907، CVE-2016-6698
  • ماركو غراسي ( @marcograss ) من Keen Lab of Tencent ( @keen_lab ): CVE-2016-6828
  • العلامة التجارية للمشروع Zero: CVE-2016-6706
  • مارك رينوف من Google: CVE-2016-6724
  • ميشال بيدنارسكي ( github.com/michalbednarski ): CVE-2016-6710
  • Min Chong من Android Security: CVE-2016-6743
  • Peter Pi ( @heisecode ) من Trend Micro: CVE-2016-6721
  • تشيدان هي (何淇丹) ( @flanker_hqd ) وجينجمينج ليو (刘耕铭) ( @dmxcsnsbh ) من KeenLab، Tencent: CVE-2016-6705
  • روبن لي من جوجل: CVE-2016-6708
  • سكوت باور ( @ScottyBauer1 ): CVE-2016-6751
  • سيرجي بوبروف ( @Black2Fan ) من Kaspersky Lab: CVE-2016-6716
  • Seven Shen ( @lingtongshen ) من فريق أبحاث Trend Micro Mobile Threat Research: CVE-2016-6748، CVE-2016-6749، CVE-2016-6750، CVE-2016-6753
  • فيكتور فان دير فين، وهيربرت بوس، وكافيه رضوي، وكريستيانو جيوفريدا من جامعة فريجي أمستردام، ويانيك فراتانتونيو، ومارتينا ليندورفر، وجيوفاني فيجنا من جامعة كاليفورنيا، سانتا باربرا: CVE-2016-6728
  • Weichao Sun ( @sunblate ) من شركة Alibaba Inc: CVE-2016-6712، CVE-2016-6699، CVE-2016-6711
  • Wenke Dou ( vancouverdou@gmail.com )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6720
  • Wish Wu (吴潍浠) ( @wish_wu ) من شركة Trend Micro Inc.: CVE-2016-6704
  • ياكوف شافرانوفيتش من Nightwatch Cybersecurity : CVE-2016-6723
  • Yuan-Tsung Lo ، وYao Jun ، وTong Lin ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6730، CVE-2016-6732، CVE-2016-6734، CVE-2016-6736
  • Yuan-Tsung Lo و Yao Jun و Xiaodong Wang و Chiachih Wu ( @chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6731، CVE-2016-6733، CVE-2016-6735، CVE-2016-6746

شكرًا إضافيًا لـ Zach Riggle من Android Security لمساهماته في العديد من القضايا في هذه النشرة.

01/11/2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-11-2016. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6699 أ-31373622 شديد الأهمية الجميع 7.0 27 يوليو 2016

رفع ثغرة الامتياز في ملف libzip

قد تؤدي زيادة ثغرة الامتيازات في ملف libzip إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6700 أ-30916186 شديد الأهمية لا أحد* 4.4.4، 5.0.2، 5.1.1 17 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Skia

يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libskia إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملفات الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية المعرض.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6701 أ-30190637 عالي الجميع 7.0 جوجل الداخلية

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libjpeg

يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libjpeg إلى تمكين المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم libjpeg.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6702 أ-30259087 عالي لا أحد* 4.4.4، 5.0.2، 5.1.1 19 يوليو 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في وقت تشغيل Android

يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في مكتبة وقت تشغيل Android إلى تمكين المهاجم باستخدام حمولة مصممة خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم وقت تشغيل Android.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6703 أ-30765246 عالي لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6704 ا-30229821 [ 2 ] [ 3 ] عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 19 يوليو 2016
CVE-2016-6705 ا-30907212 [ 2 ] عالي الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 16 أغسطس 2016
CVE-2016-6706 أ-31385713 عالي الجميع 7.0 8 سبتمبر 2016

رفع ثغرة الامتياز في خادم النظام

قد تؤدي زيادة ثغرة الامتيازات في System Server إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6707 أ-31350622 عالي الجميع 6.0، 6.0.1، 7.0 7 سبتمبر 2016

رفع ثغرة الامتياز في واجهة مستخدم النظام

قد يؤدي رفع الامتياز في واجهة مستخدم النظام إلى تمكين مستخدم ضار محلي من تجاوز موجه الأمان لملف تعريف العمل في وضع النوافذ المتعددة. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم لأي تعديلات على إعدادات المطور أو الأمان.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6708 أ-30693465 عالي الجميع 7.0 جوجل الداخلية

ثغرة أمنية في الكشف عن المعلومات في Conscrypt

قد تؤدي ثغرة الكشف عن المعلومات في Conscrypt إلى تمكين المهاجم من الوصول إلى المعلومات الحساسة إذا تم استخدام واجهة برمجة تطبيقات التشفير القديمة بواسطة أحد التطبيقات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6709 أ-31081987 عالي الجميع 6.0، 6.0.1، 7.0 9 أكتوبر 2015

ثغرة الكشف عن المعلومات في مدير التحميل

قد تؤدي ثغرة الكشف عن المعلومات في مدير التنزيل إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6710 ا-30537115 [ 2 ] عالي الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 30 يوليو 2016

ثغرة أمنية في رفض الخدمة في البلوتوث

قد تؤدي ثغرة رفض الخدمة في البلوتوث إلى تمكين المهاجم القريب من منع وصول البلوتوث إلى الجهاز المتأثر. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2014-9908 أ-28672558 عالي لا أحد* 4.4.4، 5.0.2، 5.1.1 5 مايو 2014

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في رفض الخدمة في OpenJDK

قد تؤدي ثغرة رفض الخدمة عن بعد في OpenJDK إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2015-0410 أ-30703445 عالي الجميع 7.0 16 يناير 2015

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي الثغرة الأمنية لرفض الخدمة عن بعد في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6711 أ-30593765 عالي لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 1 أغسطس 2016
CVE-2016-6712 أ-30593752 عالي لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 1 أغسطس 2016
CVE-2016-6713 أ-30822755 عالي الجميع 6.0، 6.0.1، 7.0 11 أغسطس 2016
CVE-2016-6714 أ-31092462 عالي الجميع 6.0، 6.0.1، 7.0 22 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع مستوى الضعف في الامتيازات في Framework APIs

قد يؤدي ارتفاع ثغرة الامتياز في واجهات برمجة تطبيقات Framework إلى السماح لتطبيق ضار محلي بتسجيل الصوت دون إذن المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً بدء المستخدم أو إذن المستخدم).

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6715 أ-29833954 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 28 يونيو 2016

رفع ثغرة الامتياز في AOSP Launcher

قد يؤدي رفع ثغرة الامتيازات في AOSP Launcher إلى السماح لتطبيق ضار محلي بإنشاء اختصارات ذات امتيازات مرتفعة دون موافقة المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً بدء المستخدم أو إذن المستخدم).

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6716 أ-30778130 معتدل الجميع 7.0 5 أغسطس 2016

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً استغلال ثغرة أمنية منفصلة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6717 أ-31350239 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 7 سبتمبر 2016

رفع ثغرة الامتياز في خدمة مدير الحساب

قد تؤدي زيادة ثغرة الامتيازات في خدمة مدير الحساب إلى تمكين تطبيق ضار محلي من استرداد معلومات حساسة دون تدخل المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً بدء المستخدم أو إذن المستخدم.)

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6718 أ-30455516 معتدل الجميع 7.0 جوجل الداخلية

رفع ثغرة الامتياز في البلوتوث

قد تؤدي زيادة ثغرة الامتياز في مكون Bluetooth إلى تمكين تطبيق ضار محلي من الاقتران بأي جهاز Bluetooth دون موافقة المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً بدء المستخدم أو إذن المستخدم).

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6719 ا-29043989 [ 2 ] معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 جوجل الداخلية

ثغرة الكشف عن المعلومات في Mediaserver

يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6720 ا-29422020 [ 2 ] [ 3 ] [ 4 ] معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 15 يونيو 2016
CVE-2016-6721 أ-30875060 معتدل الجميع 6.0، 6.0.1، 7.0 13 أغسطس 2016
CVE-2016-6722 أ-31091777 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 23 أغسطس 2016

ثغرة أمنية في رفض الخدمة في Proxy Auto Config

قد تؤدي ثغرة رفض الخدمة في Proxy Auto Config إلى تمكين المهاجم عن بعد من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب تكوينًا غير شائع للجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6723 ا-30100884 [ 2 ] معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 11 يوليو 2016

رفض وجود ثغرة أمنية في خدمة إدارة الإدخال

قد تؤدي ثغرة رفض الخدمة في خدمة إدارة الإدخال إلى تمكين تطبيق ضار محلي من التسبب في إعادة تشغيل الجهاز باستمرار. تم تصنيف هذه المشكلة على أنها متوسطة لأنها عبارة عن رفض مؤقت للخدمة ويتطلب إعادة ضبط المصنع لإصلاحها.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6724 أ-30568284 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 جوجل الداخلية

05/11/2016 مستوى التصحيح الأمني ​​— تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-11-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في برنامج تشغيل التشفير Qualcomm

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل Qualcomm crypto إلى تمكين مهاجم عن بُعد من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في سياق النواة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6725 أ-30515053
مراقبة الجودة-CR#1050970
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 25 يوليو 2016

رفع ثغرة الامتياز في نظام ملفات kernel

قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2015-8961 أ-30952474
نواة المنبع
شديد الأهمية بكسل، بكسل XL 18 أكتوبر 2015
CVE-2016-7911 أ-30946378
نواة المنبع
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 01 يوليو 2016
CVE-2016-7910 أ-30942273
نواة المنبع
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 29 يوليو 2016

رفع ثغرة الامتياز في برنامج تشغيل kernel SCSI

يمكن أن تؤدي زيادة ثغرة الامتيازات في برنامج تشغيل kernel SCSI إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2015-8962 أ-30951599
نواة المنبع
شديد الأهمية بكسل، بكسل XL 30 أكتوبر 2015

رفع ثغرة الامتياز في برنامج تشغيل وسائط kernel

قد تؤدي زيادة ثغرة الامتيازات في برنامج تشغيل وسائط kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-7913 أ-30946097
نواة المنبع
شديد الأهمية نيكزس 6P، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL 28 يناير 2016

رفع ثغرة الامتياز في برنامج تشغيل USB الخاص بـ kernel

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل USB لـ kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-7912 أ-30950866
نواة المنبع
شديد الأهمية بكسل سي، بكسل، بكسل XL 14 أبريل 2016

رفع ثغرة الامتياز في نظام kernel ION الفرعي

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6728 أ-30400942* شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 25 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في أداة تحميل التشغيل Qualcomm

قد تؤدي زيادة ثغرة الامتيازات في أداة تحميل التشغيل Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6729 أ-30977990*
مراقبة الجودة-CR#977684
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 25 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6730 أ-30904789*
N-CVE-2016-6730
شديد الأهمية بكسل سي 16 أغسطس 2016
CVE-2016-6731 أ-30906023*
N-CVE-2016-6731
شديد الأهمية بكسل سي 16 أغسطس 2016
CVE-2016-6732 أ-30906599*
N-CVE-2016-6732
شديد الأهمية بكسل سي 16 أغسطس 2016
CVE-2016-6733 أ-30906694*
N-CVE-2016-6733
شديد الأهمية بكسل سي 16 أغسطس 2016
CVE-2016-6734 أ-30907120*
N-CVE-2016-6734
شديد الأهمية بكسل سي 16 أغسطس 2016
CVE-2016-6735 أ-30907701*
N-CVE-2016-6735
شديد الأهمية بكسل سي 16 أغسطس 2016
CVE-2016-6736 أ-30953284*
N-CVE-2016-6736
شديد الأهمية بكسل سي 18 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في النظام الفرعي لشبكات kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لشبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6828 أ-31183296
نواة المنبع
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 18 أغسطس 2016

رفع ثغرة الامتياز في النظام الفرعي للصوت kernel

قد تؤدي زيادة ثغرة الامتياز في النظام الفرعي للصوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-2184 أ-30952477
نواة المنبع
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 31 مارس 2016

رفع ثغرة الامتياز في نظام kernel ION الفرعي

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6737 أ-30928456* شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

ثغرات أمنية في مكونات كوالكوم

يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرة الأمان الخاصة بـ Qualcomm AMSS لشهر يونيو 2016 والتنبيه الأمني ​​80-NV606-17.

مكافحة التطرف العنيف مراجع خطورة* أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6727 أ-31092400** شديد الأهمية أندرويد وان كوالكوم الداخلية
CVE-2016-6726 أ-30775830** عالي نيكزس 6، أندرويد وان كوالكوم الداخلية

* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.

** التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Expat

يحتوي الجدول أدناه على الثغرات الأمنية التي تؤثر على مكتبة Expat. أخطر هذه المشكلات هو زيادة ثغرة الامتيازات في محلل Expat XML، والذي قد يمكّن المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في عملية لا تتمتع بامتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال تنفيذ تعليمات برمجية عشوائية في تطبيق يستخدم Expat.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-0718 أ-28698301 عالي لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 10 مايو 2016
CVE-2012-6702 أ-29149404 معتدل لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 06 مارس 2016
CVE-2016-5300 أ-29149404 معتدل لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 04 يونيو 2016
CVE-2015-1283 أ-27818751 قليل لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 24 يوليو 2015

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Webview

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Webview إلى تمكين المهاجم عن بعد من تنفيذ تعليمات برمجية عشوائية عندما ينتقل المستخدم إلى موقع ويب. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في عملية لا تتمتع بأي امتيازات.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6754 أ-31217937 عالي لا أحد* 5.0.2، 5.1.1، 6.0، 6.0.1 23 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Freetype

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Freetype إلى تمكين تطبيق ضار محلي من تحميل خط مصمم خصيصًا للتسبب في تلف الذاكرة في عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في التطبيقات التي تستخدم Freetype.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2014-9675 ا-24296662 [ 2 ] عالي لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في النظام الفرعي لأداء kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2015-8963 أ-30952077
نواة المنبع
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 15 ديسمبر 2015

رفع ثغرة الامتياز في النظام الفرعي لتدقيق استدعاءات نظام kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لتدقيق مكالمات نظام kernel إلى تمكين تطبيق ضار محلي من تعطيل تدقيق مكالمات النظام في kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا عامًا لدفاع متعمق على مستوى kernel أو استغلال تقنية التخفيف.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6136 أ-30956807
نواة المنبع
عالي أندرويد وان، بكسل سي، نيكزس بلاير 1 يوليو 2016

رفع ثغرة الامتياز في برنامج تشغيل محرك التشفير Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل محرك Qualcomm crypto إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6738 أ-30034511
مراقبة الجودة-CR#1050538
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 7 يوليو 2016

رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6739 أ-30074605*
مراقبة الجودة-CR#1049826
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 11 يوليو 2016
CVE-2016-6740 أ-30143904
مراقبة الجودة-CR#1056307
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 12 يوليو 2016
CVE-2016-6741 أ-30559423
مراقبة الجودة-CR#1060554
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 28 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل ناقل Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل ناقل Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-3904 أ-30311977
مراقبة الجودة-CR#1050455
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 22 يوليو 2016

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6742 أ-30799828* عالي نيكزس 5X، أندرويد وان 9 أغسطس 2016
CVE-2016-6744 أ-30970485* عالي نيكزس 5X 19 أغسطس 2016
CVE-2016-6745 أ-31252388* عالي نيكزس 5X، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل، بكسل XL 1 سبتمبر 2016
CVE-2016-6743 أ-30937462* عالي نيكزس 9، أندرويد وان جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات النواة

يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات kernel، بما في ذلك برنامج تشغيل جهاز الواجهة البشرية ونظام الملفات وبرنامج تشغيل Teletype، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2015-8964 أ-30951112
نواة المنبع
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 27 نوفمبر 2015
CVE-2016-7915 أ-30951261
نواة المنبع
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 19 يناير 2016
CVE-2016-7914 أ-30513364
نواة المنبع
عالي بكسل سي، بكسل، بكسل XL 06 أبريل 2016
CVE-2016-7916 أ-30951939
نواة المنبع
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 05 مايو 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6746 أ-30955105*
N-CVE-2016-6746
عالي بكسل سي 18 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6747 أ-31244612*
N-CVE-2016-6747
عالي نيكزس 9 جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات النواة

يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات kernel، بما في ذلك النظام الفرعي لتجميع العمليات والنظام الفرعي للشبكات، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-7917 أ-30947055
نواة المنبع
معتدل بكسل سي، بكسل، بكسل XL 02 فبراير 2016
CVE-2016-6753 أ-30149174* معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير، بكسل، بكسل XL 13 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات كوالكوم

يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات Qualcomm، بما في ذلك برنامج تشغيل GPU وبرنامج تشغيل الطاقة وبرنامج تشغيل SMSM Point-to-Point وبرنامج تشغيل الصوت، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6748 أ-30076504
مراقبة الجودة-CR#987018
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 12 يوليو 2016
CVE-2016-6749 أ-30228438
مراقبة الجودة-CR#1052818
معتدل نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 12 يوليو 2016
CVE-2016-6750 أ-30312054
مراقبة الجودة-CR#1052825
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 21 يوليو 2016
CVE-2016-3906 أ-30445973
مراقبة الجودة-CR#1054344
معتدل نيكزس 5X، نيكزس 6P 27 يوليو 2016
CVE-2016-3907 أ-30593266
مراقبة الجودة-CR#1054352
معتدل نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 2 أغسطس 2016
CVE-2016-6698 أ-30741851
مراقبة الجودة-CR#1058826
معتدل نيكزس 5X، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 2 أغسطس 2016
CVE-2016-6751 أ-30902162*
مراقبة الجودة-CR#1062271
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 15 أغسطس 2016
CVE-2016-6752 أ-31498159
مراقبة الجودة-CR#987051
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

06/11/2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية المدرجة في مستوى تصحيح الأمان 2016-11-06 — ملخص الثغرات الأمنية أعلاه. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

رفع ثغرة الامتياز في النظام الفرعي لذاكرة kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

ملاحظة: يشير مستوى التصحيح الأمني ​​بتاريخ 06/11/2016 إلى أن هذه المشكلة، بالإضافة إلى كافة المشكلات المرتبطة بتاريخي 01/11/2016 و05/11/2016 قد تمت معالجتها.

مكافحة التطرف العنيف مراجع خطورة إصدارات النواة المحدثة تاريخ الإبلاغ
CVE-2016-5195 أ-32141528
نواة المنبع [ 2 ]
شديد الأهمية 3.10، 3.18 12 أكتوبر 2016

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .

  • تتناول مستويات تصحيح الأمان 01-11-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 01-11-2016.
  • تتناول مستويات تصحيح الأمان 05-11-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 05-11-2016 وجميع مستويات التصحيح السابقة.
  • تتناول مستويات تصحيح الأمان 06-11-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 06-11-2016 وجميع مستويات التصحيح السابقة.

يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين سلسلة مستوى التصحيح على:

  • [ro.build.version.security_patch]:[2016-11-01]
  • [ro.build.version.security_patch]:[2016-11-05]
  • [ro.build.version.security_patch]:[2016-11-06].

2. لماذا تحتوي هذه النشرة على ثلاثة مستويات من التصحيح الأمني؟

تحتوي هذه النشرة على ثلاثة مستويات من التصحيح الأمني ​​بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.

  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 نوفمبر 2016 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 نوفمبر 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في هذه النشرة الأمنية (والسابقة).
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 6 نوفمبر 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).

يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.

3. كيف يمكنني تحديد أجهزة Google المتأثرة بكل مشكلة؟

في الأقسام 01-11-2016 و05-11-2016 و06-11-2016 ، يحتوي كل جدول على عمود أجهزة Google المحدثة الذي يغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus وPixel، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . يشمل "الكل" الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
  • بعض أجهزة Google : إذا لم تؤثر المشكلة على جميع أجهزة Google، فسيتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
  • لا توجد أجهزة Google : إذا لم تتأثر أي أجهزة Google تعمل بنظام التشغيل Android 7.0 بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Google المحدثة .

4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

التنقيحات

  • 07 نوفمبر 2016: نشر النشرة.
  • 08 نوفمبر: تمت مراجعة النشرة لتشمل روابط AOSP والوصف المحدث لـ CVE-2016-6709.
  • 17 نوفمبر: تمت مراجعة النشرة لتشمل إسناد CVE-2016-6828.
  • 21 ديسمبر: تحديث رصيد الباحث.