تم النشر في 05 ديسمبر 2016 | تم التحديث في 21 ديسمبر 2016
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. إلى جانب النشرة ، أصدرنا تحديثًا أمنيًا لأجهزة Google من خلال تحديث عبر الأثير (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google إلى موقع Google Developer . مستويات تصحيح الأمان بتاريخ 05 ديسمبر 2016 أو ما بعده تعالج كل هذه المشكلات. راجع الجدول الزمني لتحديث Pixel و Nexus للتعرف على كيفية التحقق من مستوى تصحيح أمان الجهاز.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة في 07 نوفمبر 2016 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP) وربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط إلى تصحيحات خارج AOSP.
أخطر هذه المشكلات هي الثغرات الأمنية الحرجة في التعليمات البرمجية الخاصة بالجهاز والتي يمكن أن تتيح تنفيذ تعليمات برمجية عشوائية في سياق النواة ، مما يؤدي إلى إمكانية حدوث اختراق محلي دائم للجهاز ، الأمر الذي قد يتطلب إعادة تحميل ملفات نظام التشغيل لإصلاح الجهاز . يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر ، بافتراض تعطيل عمليات التخفيف من النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم يكن لدينا أي تقارير عن استغلال أو إساءة استخدام العملاء النشط لهذه المشكلات التي تم الإبلاغ عنها حديثًا. ارجع إلى قسم تخفيفات خدمة Android و Google للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وحماية الخدمة مثل SafetyNet ، والتي تعمل على تحسين أمان نظام Android الأساسي.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- تحتوي هذه النشرة على سلسلتين على مستوى تصحيح الأمان لتزويد شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بشكل أسرع. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 2016-12-01 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-12-01 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- 2016-12-05 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 2016-12-01 و2016-12-05 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- ستتلقى أجهزة Google المدعومة تحديث OTA واحد بمستوى تصحيح الأمان في 05 ديسمبر 2016.
عمليات التخفيف من خدمة Android و Google
هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي للأمان في Android وإجراءات حماية الخدمة ، مثل SafetyNet. تقلل هذه الإمكانات من احتمالية نجاح استغلال الثغرات الأمنية على Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة من خلال التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بنشاط باستخدام Verify Apps و SafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google للجوال وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. تُحظر أدوات تجذير الجهاز في Google Play ، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه - بغض النظر عن مصدره. بالإضافة إلى ذلك ، تحاول Verify Apps تحديد ومنع تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم بالفعل تثبيت مثل هذا التطبيق ، فستقوم Verify Apps بإخطار المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء ، لا تقوم تطبيقات Google Hangouts و Messenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
نود أن نشكر هؤلاء الباحثين على مساهماتهم:
- Baozeng Ding و Chengming Yang و Peng Xiao و Ning You و Yang Dong و Chao Yang و Yi Zhang و Yang Song of Alibaba Mobile Security Group: CVE-2016-6783، CVE-2016-6784، CVE-2016-6785
- Chi Zhang ، Mingjian Zhou (Mingjian_Zhou) ، Chiachih Wu ( chiachih_wu ) ، و Xuxian Jiang من فريق C0RE : CVE-2016-6789، CVE-2016-6790
- كريستيان سيل: CVE-2016-6769
- David Benjamin and Kenny Root of Google: CVE-2016-6767
- Di Shen ( returnsme ) من KeenLab ( keen_lab ) ، تينسنت: CVE-2016-6776 ، CVE-2016-6787
- En He ( @ heeeeen4x ) من MS509Team : CVE-2016-6763
- Gengjia Chen ( @ chengjia4574 )، pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd .: CVE-2016-6779، CVE-2016-6778، CVE-2016-8401، CVE-2016-8402، CVE-2016-8403، CVE-2016-8409 ، CVE-2016-8408 ، CVE-2016-8404
- Jianqiang Zhao ( jianqiangzhao ) و pjf من IceSword Lab ، Qihoo 360 Technology Co. Ltd: CVE-2016-6788، CVE-2016-6781، CVE-2016-6782، CVE-2016-8396
- Lubo Zhang و Tong Lin و Yuan-Tsung Lo و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6791، CVE-2016-8391، CVE-2016-8392
- وضع علامة على العلامة التجارية للمشروع صفر: CVE-2016-6772
- Michał Bednarski : CVE-2016-6770، CVE-2016-6774
- Mingjian Zhou ( Mingjian_Zhou ) و Chi Zhang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6761، CVE-2016-6759، CVE-2016-8400
- Mingjian Zhou (Mingjian_Zhou) و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6760
- Mingjian Zhou ( Mingjian_Zhou ) و Hanxiang Wen و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6759
- ناثان كراندال ( natecray ) من فريق أمان منتجات Tesla Motors: CVE-2016-6915، CVE-2016-6916، CVE-2016-6917
- Nightwatch Cybersecurity Research ( nightwatchcyber ): CVE-2016-5341
- Pengfei Ding (丁鹏飞)، Chenfu Bao (包 沉浮)، Lenx Wei (韦 韬) من Baidu X-Lab: CVE-2016-6755، CVE-2016-6756
- Peter Pi ( heisecode ) من Trend Micro: CVE-2016-8397، CVE-2016-8405، CVE-2016-8406، CVE-2016-8407
- Qidan He (何 淇 丹) ( flanker_hqd ) من KeenLab ، Tencent (腾讯 科恩 实验室): CVE-2016-8399، CVE-2016-8395
- كيدان هي (何 淇 丹) ( flanker_hqd ) وماركو غراسي ( marcograss ) من كين لاب ، تينسنت (腾讯 科恩 实验室): CVE-2016-6768
- ريتشارد شوباك: CVE-2016-5341
- Sagi Kedmi من IBM X-Force Research: CVE-2016-8393، CVE-2016-8394
- Seven Shen ( lingtongshen ) من فريق Mobile Threat Research Team ، Trend Micro Inc .: CVE-2016-6757
- Weichao Sun ( sunblate ) من Alibaba Inc.: CVE-2016-6773
- Wenke Dou و Chi Zhang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6765
- Wish Wu ( wish_wu ) (吴 潍 浠) من Mobile Threat Response Team ، Trend Micro Inc .: CVE-2016-6704
- Yuan-Tsung Lo و Tong Lin و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6786، CVE-2016-6780، CVE-2016-6775
- Yuan-Tsung Lo و Xiaodong Wang و Chiachih Wu ( chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6777
- Yuxiang Li من Tencent Security Platform Department: CVE-2016-6771
- Zhe Jin (金 哲) من مركز Chengdu Security Response Center ، شركة Qihoo 360 Technology Co. Ltd .: CVE-2016-6764، CVE-2016-6766
- Zinuo Han of Chengdu Security Response Center التابع لشركة Qihoo 360 Technology Co. Ltd .: CVE-2016-6762
شكر إضافي لشكر MengLuo Gou ( @ idhyt3r ) من Bottle Tech و Yong Wang (王勇) ( @ ThomasKing2014 ) وزوبين ميثرا من Google على مساهماتهم في نشرة الأمان هذه.
2016-12-01 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح 2016-12-01. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في CURL / LIBCURL
يحتوي الجدول على ثغرات أمنية تؤثر على مكتبات CURL و LIBCURL. قد تؤدي المشكلة الأكثر خطورة إلى تمكين مهاجم الرجل الوسيط باستخدام شهادة مزورة لتنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لحاجة المهاجم إلى شهادة مزورة.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-5419 | A-31271247 | عالٍ | الجميع | 7.0 | 3 أغسطس 2016 |
| CVE-2016-5420 | A-31271247 | عالٍ | الجميع | 7.0 | 3 أغسطس 2016 |
| CVE-2016-5421 | A-31271247 | عالٍ | الجميع | 7.0 | 3 أغسطس 2016 |
ارتفاع ضعف الامتياز في libziparchive
يمكن أن يؤدي ارتفاع ثغرة الامتياز في مكتبة libziparchive إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6762 | A-31251826 [ 2 ] | عالٍ | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 28 أغسطس 2016 |
ضعف رفض الخدمة في الهتفية
قد يؤدي رفض وجود ثغرة أمنية في الخدمة في Telephony إلى تمكين تطبيق ضار محلي من استخدام ملف تم إنشاؤه خصيصًا للتسبب في تعطل الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة المحلي الدائم.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6763 | A-31530456 | عالٍ | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 12 سبتمبر 2016 |
ضعف رفض الخدمة في Mediaserver
قد يؤدي رفض وجود ثغرة أمنية في Mediaserver إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا للتسبب في توقف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة عن بُعد.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6766 | A-31318219 | عالٍ | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 5 سبتمبر 2016 |
| CVE-2016-6765 | A-31449945 | عالٍ | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 7.0 | 13 سبتمبر 2016 |
| CVE-2016-6764 | A-31681434 | عالٍ | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 22 سبتمبر 2016 |
| CVE-2016-6767 | A-31833604 | عالٍ | لا أحد* | 4.4.4 | جوجل الداخلية |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في مكتبة Framesequence
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في مكتبة Framesequence إلى تمكين المهاجم من استخدام ملف تم إنشاؤه خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بامتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم مكتبة Framesequence.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6768 | A-31631842 | عالٍ | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 19 سبتمبر 2016 |
ارتفاع مستوى ضعف الامتيازات في Smart Lock
يمكن أن يؤدي ارتفاع ثغرة الامتياز في Smart Lock إلى تمكين مستخدم ضار محلي من الوصول إلى إعدادات Smart Lock بدون رمز PIN. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً وصولاً فعليًا إلى جهاز غير مؤمن حيث كان Smart Lock هو آخر جزء من الإعدادات التي تم الوصول إليها من قبل المستخدم.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6769 | أ -29055171 | معتدل | لا أحد* | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 | 27 مايو 2016 |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
رفع ثغرة أمنية في الامتيازات في واجهات برمجة تطبيقات Framework
قد يؤدي ارتفاع ثغرة الامتياز في Framework API إلى تمكين تطبيق ضار محلي من الوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي للقيود على عملية مقيدة.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6770 | أ -30202228 | معتدل | الجميع | 4.4.4 ، 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 16 يوليو 2016 |
رفع مستوى ضعف الامتياز في الاتصالات الهاتفية
يمكن أن يؤدي ارتفاع ثغرة الامتياز في الهاتف إلى تمكين تطبيق ضار محلي من الوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تجاوز محلي للقيود على عملية مقيدة.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6771 | A-31566390 | معتدل | الجميع | 6.0 ، 6.0.1 ، 7.0 | 17 سبتمبر 2016 |
ارتفاع ضعف الامتياز في شبكة Wi-Fi
يمكن أن يؤدي ارتفاع ثغرة الامتياز في شبكة Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6772 | A-31856351 [ 2 ] | معتدل | الجميع | 5.0.2 ، 5.1.1 ، 6.0 ، 6.0.1 ، 7.0 | 30 سبتمبر 2016 |
ضعف الكشف عن المعلومات في Mediaserver
قد تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6773 | A-30481714 [ 2 ] | معتدل | الجميع | 6.0 ، 6.0.1 ، 7.0 | 27 يوليو 2016 |
ثغرة أمنية في الكشف عن المعلومات في إدارة الحزم
قد تؤدي ثغرة الكشف عن المعلومات في Package Manager إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | إصدارات AOSP المحدثة | ذكرت تاريخ |
|---|---|---|---|---|---|
| CVE-2016-6774 | A-31251489 | معتدل | الجميع | 7.0 | 29 أغسطس 2016 |
2016-12-05 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح 2016-12-05. يوجد وصف للمشكلة ، ومبرر الخطورة ، وجدول مع CVE ، والمراجع المرتبطة ، والخطورة ، وأجهزة Google المحدثة ، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك) ، وتاريخ الإبلاغ. عند توفرها ، سنربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
ارتفاع ضعف الامتياز في النظام الفرعي لذاكرة kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-4794 | A-31596597 نواة المنبع [ 2 ] | حرج | Pixel C و Pixel و Pixel XL | 17 أبريل 2016 |
| CVE-2016-5195 | أ -32141528 نواة المنبع [ 2 ] | حرج | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 12 أكتوبر 2016 |
ارتفاع ثغرة أمنية في برنامج تشغيل NVIDIA GPU
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6775 | A-31222873 * N-CVE-2016-6775 | حرج | نيكزس 9 | 25 أغسطس 2016 |
| CVE-2016-6776 | A-31680980 * N-CVE-2016-6776 | حرج | نيكزس 9 | 22 سبتمبر 2016 |
| CVE-2016-6777 | A-31910462 * N-CVE-2016-6777 | حرج | نيكزس 9 | 3 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
رفع مستوى ضعف الامتياز في النواة
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2015-8966 | A-31435731 نواة المنبع | حرج | لا أحد* | 10 سبتمبر 2016 |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
زيادة ضعف الامتياز في برنامج تشغيل الفيديو NVIDIA
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6915 | A-31471161 * N-CVE-2016-6915 | حرج | نيكزس 9 | 13 سبتمبر 2016 |
| CVE-2016-6916 | A-32072350 * N-CVE-2016-6916 | حرج | Nexus 9 ، Pixel C | 13 سبتمبر 2016 |
| CVE-2016-6917 | A-32072253 * N-CVE-2016-6917 | حرج | نيكزس 9 | 13 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل kernel ION
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها حرجة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-9120 | A-31568617 نواة المنبع | حرج | Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel C و Nexus Player | 16 سبتمبر 2016 |
نقاط الضعف في مكونات Qualcomm
تؤثر الثغرات الأمنية التالية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرة أمان Qualcomm AMSS لشهر نوفمبر 2015.
| CVE | مراجع | خطورة* | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8411 | A-31805216 ** | حرج | Nexus 6 و Nexus 6P و Android One | كوالكوم داخلي |
* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.
** التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في نظام ملفات kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2014-4014 | A-31252187 نواة المنبع | عالٍ | Nexus 6 ، Nexus Player | 10 يونيو 2014 |
رفع مستوى ضعف الامتياز في النواة
قد يؤدي ارتفاع ثغرة الامتياز في النواة إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً استغلال ثغرة أمنية منفصلة.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2015-8967 | A-31703084 نواة المنبع | عالٍ | Nexus 5X و Nexus 6P و Nexus 9 و Pixel C و Pixel و Pixel XL | 8 يناير 2015 |
ارتفاع ضعف الامتياز في برنامج تشغيل ترميز الصوت HTC
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت من HTC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6778 | A-31384646 * | عالٍ | نيكزس 9 | 25 فبراير 2016 |
| CVE-2016-6779 | A-31386004 * | عالٍ | نيكزس 9 | 25 فبراير 2016 |
| CVE-2016-6780 | A-31251496 * | عالٍ | نيكزس 9 | 30 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج MediaTek
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6492 | أ -28175122 MT-ALPS02696413 | عالٍ | لا أحد* | 11 أبريل 2016 |
| CVE-2016-6781 | أ -31095175 MT-ALPS02943455 | عالٍ | لا أحد* | 22 أغسطس 2016 |
| CVE-2016-6782 | A-31224389 MT-ALPS02943506 | عالٍ | لا أحد* | 24 أغسطس 2016 |
| CVE-2016-6783 | A-31350044 MT-ALPS02943437 | عالٍ | لا أحد* | 6 سبتمبر 2016 |
| CVE-2016-6784 | A-31350755 MT-ALPS02961424 | عالٍ | لا أحد* | 6 سبتمبر 2016 |
| CVE-2016-6785 | A-31748056 MT-ALPS02961400 | عالٍ | لا أحد* | 25 سبتمبر 2016 |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
زيادة ضعف الامتياز في برامج ترميز وسائط Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في برامج ترميز وسائط Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتياز. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6761 | A-29421682 * QC-CR # 1055792 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL | 16 يونيو 2016 |
| CVE-2016-6760 | A-29617572 * QC-CR # 1055783 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL | 23 يونيو 2016 |
| CVE-2016-6759 | A-29982686 * QC-CR # 1055766 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL | 4 يوليو 2016 |
| CVE-2016-6758 | A-30148882 * QC-CR # 1071731 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL | 13 يوليو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل كاميرا Qualcomm
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6755 | A-30740545 QC-CR # 1065916 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL | 3 أغسطس 2016 |
ارتفاع ضعف الامتياز في النظام الفرعي لأداء kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6786 | A-30955111 نواة المنبع | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 18 أغسطس 2016 |
| CVE-2016-6787 | A-31095224 نواة المنبع | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 22 أغسطس 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل MediaTek I2C
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل MediaTek I2C إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6788 | A-31224428 MT-ALPS02943467 | عالٍ | لا أحد* | 24 أغسطس 2016 |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
ارتفاع ثغرة أمنية في مكتبة NVIDIA libomx
قد يؤدي ارتفاع ثغرة الامتياز في مكتبة NVIDIA libomx (libnvomx) إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول محليًا إلى إمكانات عالية ، والتي لا يمكن الوصول إليها عادةً من قبل تطبيق تابع لجهة خارجية.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6789 | A-31251973 * N-CVE-2016-6789 | عالٍ | بكسل سي | 29 أغسطس 2016 |
| CVE-2016-6790 | A-31251628 * N-CVE-2016-6790 | عالٍ | بكسل سي | 28 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل الصوت Qualcomm
قد يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6791 | A-31252384 QC-CR # 1071809 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL | 31 أغسطس 2016 |
| CVE-2016-8391 | A-31253255 QC-CR # 1072166 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL | 31 أغسطس 2016 |
| CVE-2016-8392 | A-31385862 QC-CR # 1073136 | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL | 8 سبتمبر 2016 |
رفع مستوى ضعف الامتياز في النظام الفرعي لأمان kernel
يمكن أن يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2015-7872 | A-31253168 نواة المنبع | عالٍ | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel و Pixel XL | 31 أغسطس 2016 |
ارتفاع ضعف الامتياز في برنامج تشغيل شاشة اللمس Synaptics
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8393 | A-31911920 * | عالٍ | Nexus 5X و Nexus 6P و Nexus 9 و Android One و Pixel و Pixel XL | 8 سبتمبر 2016 |
| CVE-2016-8394 | A-31913197 * | عالٍ | Nexus 9 و Android One | 8 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في برنامج تشغيل Broadcom Wi-Fi
يمكن أن يؤدي ارتفاع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2014-9909 | A-31676542 B-RB # 26684 | عالٍ | لا أحد* | 21 سبتمبر 2016 |
| CVE-2014-9910 | A-31746399 B-RB # 26710 | عالٍ | لا أحد* | 26 سبتمبر 2016 |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8396 | A-31249105 | عالٍ | لا أحد* | 26 أغسطس 2016 |
* لا تتأثر أجهزة Google المدعومة على Android 7.0 أو الأحدث التي تم تثبيت جميع التحديثات المتاحة بها بهذه الثغرة الأمنية.
ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن صريح من المستخدم.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8397 | A-31385953 * N-CVE-2016-8397 | عالٍ | نيكزس 9 | 8 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
رفض الخدمة في نظام تحديد المواقع العالمي (GPS)
قد يؤدي رفض وجود ثغرة أمنية في مكون Qualcomm GPS إلى تمكين المهاجم عن بُعد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بُعد.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-5341 | A-31470303 * | عالٍ | Nexus 6 و Nexus 5X و Nexus 6P و Nexus 9 و Android One و Pixel و Pixel XL | 21 من حزيران 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
رفض الخدمة في برنامج تشغيل الكاميرا NVIDIA
قد يؤدي رفض ثغرة أمنية في برنامج تشغيل كاميرا NVIDIA إلى تمكين المهاجم من التسبب في رفض محلي دائم للخدمة ، مما قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة المحلي الدائم.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8395 | A-31403040 * N-CVE-2016-8395 | عالٍ | بكسل سي | 9 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ارتفاع ضعف الامتياز في النظام الفرعي لشبكات kernel
قد يؤدي ارتفاع ثغرة الامتياز في النظام الفرعي لشبكات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتيازات وتحسينات المحول البرمجي الحالية تقيد الوصول إلى التعليمات البرمجية الضعيفة.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8399 | A-31349935 * | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 5 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات Qualcomm
قد تؤدي ثغرة الكشف عن المعلومات في مكونات Qualcomm بما في ذلك برنامج تشغيل الكاميرا وبرنامج تشغيل الفيديو إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-6756 | أ -29464815 QC-CR # 1042068 [ 2 ] | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL | 17 من حزيران 2016 |
| CVE-2016-6757 | أ -30148242 QC-CR # 1052821 | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Pixel و Pixel XL | 13 يوليو 2016 |
ثغرة أمنية في الكشف عن المعلومات في مكتبة NVIDIA librm
قد تؤدي ثغرة الكشف عن المعلومات في مكتبة NVIDIA librm (libnvrm) إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8400 | A-31251599 * N-CVE-2016-8400 | معتدل | بكسل سي | 29 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في مكونات النواة
قد تؤدي ثغرة الكشف عن المعلومات في مكونات kernel بما في ذلك النظام الفرعي ION و Binder و USB driver والنظام الفرعي للشبكة إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8401 | A-31494725 * | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 13 سبتمبر 2016 |
| CVE-2016-8402 | A-31495231 * | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 13 سبتمبر 2016 |
| CVE-2016-8403 | A-31495348 * | معتدل | نيكزس 9 | 13 سبتمبر 2016 |
| CVE-2016-8404 | A-31496950 * | معتدل | نيكزس 9 | 13 سبتمبر 2016 |
| CVE-2016-8405 | A-31651010 * | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 21 سبتمبر 2016 |
| CVE-2016-8406 | A-31796940 * | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Pixel C و Nexus Player و Pixel و Pixel XL | 27 سبتمبر 2016 |
| CVE-2016-8407 | A-31802656 * | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Android One و Pixel و Pixel XL | 28 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8408 | A-31496571 * N-CVE-2016-8408 | معتدل | نيكزس 9 | 13 سبتمبر 2016 |
| CVE-2016-8409 | A-31495687 * N-CVE-2016-8409 | معتدل | نيكزس 9 | 13 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للجمهور. التحديث مضمن في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة من موقع Google Developer .
ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً التنازل عن عملية ذات امتياز.
| CVE | مراجع | خطورة | أجهزة Google المحدثة | ذكرت تاريخ |
|---|---|---|---|---|
| CVE-2016-8410 | A-31498403 QC-CR # 987010 | معتدل | Nexus 5X و Nexus 6 و Nexus 6P و Android One | جوجل الداخلية |
أسئلة وأجوبة شائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان قد تم تحديث جهازي لمعالجة هذه المشكلات؟
لمعرفة كيفية التحقق من مستوى تصحيح الأمان لجهاز ما ، اقرأ التعليمات الواردة في جدول تحديث Pixel و Nexus .
- تعالج مستويات تصحيح الأمان 2016-12-01 أو أحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2016-12-01.
- تتناول مستويات تصحيح الأمان لعام 2016-12-05 أو أحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2016-12-05 وجميع مستويات التصحيح السابقة.
يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]: [2016-12-01]
- [ro.build.version.security_patch]: [2016-12-05]
2. لماذا تحتوي هذه النشرة على مستويين من تصحيح الأمان؟
تحتوي هذه النشرة على مستويين من تصحيح الأمان بحيث يتمتع شركاء Android بالمرونة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. يتم تشجيع شركاء Android على إصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من تصحيح الأمان.
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 ديسمبر 2016 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا ، بالإضافة إلى إصلاحات لجميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 ديسمبر 2016 أو أحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة).
يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google التي تتأثر بكل مشكلة؟
في أقسام تفاصيل الثغرات الأمنية في 2016-12-01 و2016-12-05 ، يحتوي كل جدول على عمود محدث لأجهزة Google يغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Pixel ، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . يتضمن "All" الأجهزة المدعومة التالية: Nexus 5 و Nexus 5X و Nexus 6 و Nexus 6P و Nexus 9 و Android One و Nexus Player و Pixel C و Pixel و Pixel XL.
- بعض أجهزة Google : إذا كانت هناك مشكلة لا تؤثر على جميع أجهزة Google ، فسيتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
- لا توجد أجهزة Google : إذا لم تتأثر أي من أجهزة Google التي تعمل بنظام Android 7.0 بالمشكلة ، فسيحتوي الجدول على "بلا" في عمود أجهزة Google المحدثة .
4. إلى ماذا تعين الإدخالات في عمود المراجع؟
قد تحتوي الإدخالات الموجودة ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:
| بادئة | المرجعي |
|---|---|
| أ- | معرف خطأ Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| م- | الرقم المرجعي MediaTek |
| ن- | الرقم المرجعي لـ NVIDIA |
| ب- | الرقم المرجعي من Broadcom |
التنقيحات
- 05 ديسمبر 2016: تم نشر النشرة.
- 7 كانون الأول (ديسمبر) 2016: تمت مراجعة النشرة لتشمل روابط AOSP والإسناد المحدث لـ CVE-2016-6915 و CVE-2016-6916 و CVE-2016-6917.
- 21 كانون الأول (ديسمبر) 2016: تصحيح الأخطاء المطبعية في وصف CVE-2016-8411 والأسئلة والأجوبة الشائعة.