تاريخ النشر: 5 كانون الأول (ديسمبر) 2016 | تاريخ التعديل: 21 كانون الأول (ديسمبر) 2016
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. إلى جانب نشر هذه النشرة، أصدرنا تحديثًا لأمان أجهزة Google من خلال تحديث عبر شبكة غير سلكية (OTA). تم أيضًا طرح صور ملف التمهيد لأجهزة Google على موقع "مطوّرو تطبيقات Google". تعالج مستويات تصحيحات الأمان في 5 كانون الأول (ديسمبر) 2016 أو الإصدارات الأحدث كلًا من هذه المشاكل. يمكنك الرجوع إلى جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان على الجهاز.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة بتاريخ 07 تشرين الثاني (نوفمبر) 2016 أو قبل ذلك. تم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) ويمكن الوصول إليها من خلال هذا الإشعار. تتضمّن هذه النشرة أيضًا روابط إلى تصحيحات خارج إطار AOSP.
وأكثر هذه المشاكل خطورة هي الثغرات الأمنية الخطيرة في الرمز المخصّص للجهاز والتي يمكن أن تتيح تنفيذ رمز عشوائي ضمن سياق النواة، ما يؤدي إلى احتمال اختراق الجهاز بشكل دائم على المستوى المحلي، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز. يستند تقييم الخطورة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى قسم الحماية من هجمات أمان Android وخدمات Google للاطّلاع على تفاصيل حول الحماية من هجمات أمان نظام Android وحماية الخدمات، مثل SafetyNet، التي تحسِّن من أمان نظام Android الأساسي.
وننصحك بقبول هذه التحديثات على أجهزتك.
الإشعارات
- تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان بهدف منح شركاء Android
المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات
المشابهة بشكل أسرع على جميع أجهزة Android. يمكنك الاطّلاع على الأسئلة الشائعة والردّ عليها للحصول على معلومات إضافية:
- 2016-12-01: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة مستوى تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01-12-2016 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- 2016-12-05: سلسلة كاملة لمستوى رمز تصحيح الأمان تشير سلسلة مستوى تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بكل من 2016-12-01 و2016-12-05 (وجميع سلاسل مستويات تصحيح الأمان السابقة).
- ستتلقّى أجهزة Google المتوافقة تحديثًا واحدًا عبر شبكة غير سلكية يتضمّن مستوى تصحيح الأمان بتاريخ 5 كانون الأول (ديسمبر) 2016.
إجراءات التخفيف في Android وخدمات Google
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- إنّ استغلال العديد من المشاكل على Android أصبح أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. وننصحك جميع المستخدمين بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يراقب فريق أمان Android الاستخدام المسيء من خلال التحقّق من التطبيقات وSafetyNet، اللذان تم تصميمهما لتحذير المستخدمين من التطبيقات التي قد تكون ضارة. تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا على الأجهزة التي تعمل بـ خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبتون التطبيقات من خارج Google Play. يُحظر استخدام أدوات برمجة التطبيقات لمنح أذونات الوصول إلى الجذر على Google Play، ولكن تحذّر ميزة "التحقّق من التطبيقات" المستخدمين عند محاولة تثبيت تطبيق تم رصده يمنح أذونات الوصول إلى الجذر، بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة "التحقق من التطبيقات" تحديد وتثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة تتعلّق بتعزيز الأذونات وحظرها. إذا سبق تثبيت تطبيق مماثل، ستُرسِل ميزة "التحقّق من التطبيقات" إشعارًا إلى المستخدم وستحاول إزالة التطبيق الذي تم رصده.
- لا تُرسِل تطبيقات Google Hangouts وMessenger الوسائط تلقائيًا إلى عمليات مثل Mediaserver، وذلك حسب الاقتضاء.
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- Baozeng Ding وChengming Yang وPeng Xiao وNing You وYang Dong وChao Yang وYi Zhang وYang Song من مجموعة أمان الأجهزة الجوّالة في Alibaba: CVE-2016-6783، CVE-2016-6784، CVE-2016-6785
- تشي زانغ، مينغيان تشو (@Mingjian_Zhou)، تشيا تشيه وو (@chiachih_wu)، وشيكسيان جيان من فريق C0RE: CVE-2016-6789 وCVE-2016-6790
- Christian Seel: CVE-2016-6769
- ديفيد بنجامين وكين رووت من Google: CVE-2016-6767
- دي شين (@returnsme) من KeenLab (@keen_lab)، شركة Tencent: CVE-2016-6776، CVE-2016-6787
- إن هو (@heeeeen4x) من MS509Team: CVE-2016-6763
- "جينغجيا تشين" (@chengjia4574)، pjf من مختبر IceSword، شركة Qihoo 360 Technology المحدودة: CVE-2016-6779 وCVE-2016-6778 وCVE-2016-8401 وCVE-2016-8402 CVE-2016-8403 وCVE-2016-8409 وCVE-2016-8408 وCVE-2016-8404
- Jianqiang Zhao (@jianqiangzhao) وpjf من مختبر IceSword، شركة Qihoo 360 Technology المحدودة: CVE-2016-6788 وCVE-2016-6781 وCVE-2016-6782 وCVE-2016-8396
- لوبو زانغ وتونغ لين ويوان-تسونغ لو وتشيا تشيه وو (@chiachih_wu) وشيكسيان جيانغ من فريق C0RE: CVE-2016-6791 وCVE-2016-8391 CVE-2016-8392
- علامة تجارية لمشروع Zero: CVE-2016-6772
- Michał Bednarski: CVE-2016-6770 وCVE-2016-6774
- مينغيان تشو (@Mingjian_Zhou) وتشي زانغ وتشياتشيه وو (@chiachih_wu) وشيكسيان جيانغ من فريق C0RE: CVE-2016-6761 وCVE-2016-6759 CVE-2016-8400
- مينغيان تشو (@Mingjian_Zhou) وتشيا تشيه وو (@chiachih_wu) وشيكسيان جيانغ من فريق C0RE: CVE-2016-6760
- مينغيان تشو (@Mingjian_Zhou) وهانشيانغ وين وتشياتشيه وو (@chiachih_wu) وشيوشيان جيانغ من فريق C0RE: CVE-2016-6759
- "ناثان كراندال" (@natecray) من فريق أمان منتجات Tesla Motors: CVE-2016-6915 وCVE-2016-6916 وCVE-2016-6917
- Nightwatch Cybersecurity Research (@nightwatchcyber): CVE-2016-5341
- بينغفي دينغ (丁鹏飞) وتشينفاو باو (包沉浮) ولينك وي (韦韬) من مختبر X-Lab في Baidu: CVE-2016-6755 وCVE-2016-6756
- "بيتر بي" (@heisecode) من Trend Micro: CVE-2016-8397 وCVE-2016-8405 وCVE-2016-8406 وCVE-2016-8407
- كيدان هي (何淇丹) (@flanker_hqd) من KeenLab، Tencent (腾讯科恩实验室): CVE-2016-8399، CVE-2016-8395
- Qidan He (何淇丹) (@flanker_hqd) وMarco Grassi (@marcograss) من KeenLab، Tencent (腾讯科恩实验室): CVE-2016-6768
- ريتشارد شوباك: CVE-2016-5341
- ساغي كيدمي من فريق IBM X-Force Research: CVE-2016-8393 وCVE-2016-8394
- "سيفِن شين" (@lingtongshen) من فريق أبحاث التهديدات على الأجهزة الجوّالة، شركة Trend Micro Inc.: CVE-2016-6757
- "وي تشاو صن" (@sunblate) من شركة Alibaba Inc.: CVE-2016-6773
- Wenke Dou وChi Zhang وChiachih Wu (@chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2016-6765
- Wish Wu (@wish_wu) (吴潍浠) من فريق استجابة التهديدات على الأجهزة الجوّالة في Trend Micro Inc.: CVE-2016-6704
- Yuan-Tsung Lo وTong Lin وChiachih Wu (@chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2016-6786 وCVE-2016-6780 CVE-2016-6775
- Yuan-Tsung Lo وXiaodong Wang وChiachih Wu (@chiachih_wu) وXuxian Jiang من فريق C0RE: CVE-2016-6777
- يوكسيانغ لي، من قسم منصة الأمان في Tencent: CVE-2016-6771
- "زهي جين" (金哲) من مركز الاستجابة الأمنية في تشنغدو، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-6764 وCVE-2016-6766
- زينو هاني من مركز الاستجابة لأمن Chengdu في شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-6762
نشكر أيضًا "مينغ لو غاو" (@idhyt3r) من شركة Bottle Tech و"يونغ وانغ" (王勇) (@ThomasKing2014) و"زوبين ميترا" من Google على مساهماتهم في نشرة الأمان هذه.
مستوى رمز تصحيح الأمان في 01/12/2016: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى تصحيح 01-12-2016. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمرجعات المرتبطة بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في تنفيذ رمز عن بُعد في CURL/LIBCURL
يحتوي الجدول على ثغرات أمنية تؤثر في مكتبتَي CURL وLIBCURL. يمكن أن تؤدي المشكلة الأكثر خطورة إلى تمكين مهاجمة الوسيط باستخدام شهادة مزورة من تنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّ المهاجم يحتاج إلى شهادة مزورة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-5419 | A-31271247 | عالية | الكل | 7 | 3 آب (أغسطس) 2016 |
| CVE-2016-5420 | A-31271247 | عالية | الكل | 7 | 3 آب (أغسطس) 2016 |
| CVE-2016-5421 | A-31271247 | عالية | الكل | 7 | 3 آب (أغسطس) 2016 |
ثغرة أمنية تؤدي إلى إساءة استخدام الأذونات في مكتبة libziparchive
يمكن أن تؤدي ثغرة أمنية في مكتبة libziparchive تؤدي إلى الحصول على امتيازات إضافية إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي في سياق عملية ذات امتيازات إضافية. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن بالوصول إلى ميزات متقدّمة على الجهاز، وهي ميزات لا يمكن عادةً لتطبيق تابع لجهة خارجية استخدامها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6762 | A-31251826 [2] | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 28 آب (أغسطس) 2016 |
ثغرة أمنية في خدمة الاتصال الهاتفي تؤدي إلى حجب الخدمة
يمكن أن تؤدي ثغرة الخدمة المرفوضة في "الهاتف" إلى السماح لتطبيق محلي ضار باستخدام ملف مصمّم خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمال حدوث انقطاع دائم للخدمة على مستوى الموقع.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6763 | A-31530456 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 12 أيلول (سبتمبر) 2016 |
ثغرة أمنية في Mediaserver تؤدي إلى حجب الخدمة
يمكن أن تسمح ثغرة رفض الخدمة في Mediaserver للمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تقييم هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6766 | A-31318219 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 5 أيلول (سبتمبر) 2016 |
| CVE-2016-6765 | A-31449945 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و7.0 | 13 أيلول (سبتمبر) 2016 |
| CVE-2016-6764 | A-31681434 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 22 أيلول (سبتمبر) 2016 |
| CVE-2016-6767 | A-31833604 | عالية | لا شيء* | 4.4.4 | Google فقط |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في مكتبة Framesequence تتيح تنفيذ رمز برمجي عن بُعد
يمكن أن تؤدي ثغرة أمنية في تنفيذ الرموز البرمجية عن بُعد في مكتبة Framesequence إلى تمكين أحد المهاجمين باستخدام ملف مصمّم خصيصًا من تنفيذ رمز عشوائي في سياق عملية غير مفوَّضة. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية تنفيذ رمز عن بُعد في تطبيق يستخدم مكتبة Framesequence.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6768 | A-31631842 | عالية | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 19 أيلول (سبتمبر) 2016 |
ثغرة أمنية في ميزة "قفل الذكي" تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في ميزة Smart Lock تؤدي إلى الحصول على امتيازات إضافية إلى تمكين مستخدم محلي شرير من الوصول إلى إعدادات Smart Lock بدون رقم تعريف شخصي. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً الوصول المادي إلى جهاز غير مقفل حيث كان Smart Lock هو لوحة الإعدادات الأخيرة التي وصل إليها المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6769 | A-29055171 | متوسط | لا شيء* | 5.0.2 و5.1.1 و6.0 و6.0.1 | 27 أيار (مايو) 2016 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في واجهة برمجة التطبيقات لإطار العمل تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي إحدى الثغرات الأمنية في واجهة برمجة التطبيقات Framework API إلى منح تطبيق ضار على الجهاز إمكانية الوصول إلى وظائف النظام التي تتجاوز مستوى وصوله. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها عملية تجاوز محلية للقيود المفروضة على عملية مقيّدة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6770 | A-30202228 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 16 تموز (يوليو) 2016 |
ثغرة أمنية في "خدمات الهاتف" تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الحصول على أذونات مميزة في حزمة Telephony إلى السماح لتطبيق محلي ضار بالوصول إلى وظائف النظام بما يتجاوز مستوى وصوله. تم تصنيف هذه المشكلة على أنّها "متوسطة" لأنّها عملية تجاوز محلية للقيود المفروضة على عملية محدودة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6771 | A-31566390 | متوسط | الكل | 6.0 و6.0.1 و7.0 | 17 أيلول (سبتمبر) 2016 |
ثغرة أمنية في شبكة Wi-Fi تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في Wi-Fi إلى تمكين تطبيق محلي ضار من تنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6772 | A-31856351 [2] | متوسط | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 30 أيلول (سبتمبر) 2016 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في Mediaserver
يمكن أن تؤدي إحدى نقاط الضعف في Mediaserver إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّه يمكن استخدامها للوصول إلى بيانات حسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6773 | A-30481714 [2] | متوسط | الكل | 6.0 و6.0.1 و7.0 | 27 تموز (يوليو) 2016 |
ثغرة أمنية في "مدير الحِزم" تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في ميزة "إدارة الحِزم" إلى السماح لتطبيق محلي ضار بتجاوز إجراءات الحماية في نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها متوسطة الصعوبة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-6774 | A-31251489 | متوسط | الكل | 7 | 29 آب (أغسطس) 2016 |
مستوى رمز تصحيح الأمان في 05-12-2016: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 05-12-2016. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمرجعات المرتبطة بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في "النظام الفرعي لذاكرة kernel" تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في نظام الذاكرة الفرعي للنواة تؤدي إلى منح أذونات مميزة إلى تفعيل تطبيق ضار محلي لتنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-4794 | A-31596597 نواة المصدر المفتوح [2] |
حرِج | Pixel C وPixel وPixel XL | 17 نيسان (أبريل) 2016 |
| CVE-2016-5195 | A-32141528 نواة المصدر المفتوح [2] |
حرِج | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 12 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في تصعيد الامتيازات في برنامج تشغيل وحدة معالجة الرسومات من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل وحدة معالجة الرسومات NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6775 | A-31222873* N-CVE-2016-6775 |
حرِج | Nexus 9 | 25 آب (أغسطس) 2016 |
| CVE-2016-6776 | A-31680980* N-CVE-2016-6776 |
حرِج | Nexus 9 | 22 أيلول (سبتمبر) 2016 |
| CVE-2016-6777 | A-31910462* N-CVE-2016-6777 |
حرِج | Nexus 9 | 3 تشرين الأول (أكتوبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في نواة النظام تتيح تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في رفع الأذونات في النواة إلى تمكين أحد التطبيقات الضارّة المحلية من تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8966 | A-31435731 النواة الأساسية |
حرِج | لا شيء* | 10 أيلول (سبتمبر) 2016 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى تصعيد الأذونات في برنامج تشغيل الفيديو من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6915 | A-31471161*
N-CVE-2016-6915 |
حرِج | Nexus 9 | 13 أيلول (سبتمبر) 2016 |
| CVE-2016-6916 | A-32072350*
N-CVE-2016-6916 |
حرِج | Nexus 9 وPixel C | 13 أيلول (سبتمبر) 2016 |
| CVE-2016-6917 | A-32072253*
N-CVE-2016-6917 |
حرِج | Nexus 9 | 13 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في ميزة "تصعيد الامتيازات" في برنامج تشغيل ION للنواة
يمكن أن تؤدي ثغرة أمنية في الحصول على أذونات مميزة في برنامج تشغيل ION الخاص بالنواة إلى السماح لتطبيق محلي ضارٍ بتنفيذ رمز عشوائي في سياق ملف تعريف الارتباط الخاص بالنواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-9120 | A-31568617 النواة الأساسية |
حرِج | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel C وNexus Player | 16 أيلول (سبتمبر) 2016 |
الثغرات الأمنية في مكونات Qualcomm
تؤثر الثغرات الأمنية التالية في مكونات Qualcomm، ويتم وصفها في مزيد من التفاصيل في نشرة الأمان الخاصة بمجموعة Qualcomm AMSS لشهر تشرين الثاني (نوفمبر) 2015.
| CVE | المراجع | مستوى الخطورة* | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8411 | A-31805216** | حرِج | Nexus 6 وNexus 6P وAndroid One | فريق Qualcomm الداخلي |
* حدّد المورّد تقييم الخطورة لهذه الثغرات.
** لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في تصعيد الأذونات في نظام ملفات kernel
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الحصول على أذونات مميزة في نظام ملفات kernel إلى السماح لتطبيق ضار محلي بتجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها عالية الخطورة لأنّه يمكن استخدامها للوصول إلى إمكانات متقدّمة على الجهاز، والتي لا يمكن للتطبيقات التابعة لجهات خارجية الوصول إليها عادةً.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-4014 | A-31252187 النواة من المصدر |
عالية | Nexus 6 وNexus Player | 10 حزيران (يونيو) 2014 |
ثغرة أمنية في نواة النظام تتيح تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في النواة تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً استغلال هجمة أمنية منفصلة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-8967 | A-31703084 النواة الأساسية |
عالية | Nexus 5X وNexus 6P وNexus 9 وPixel C وPixel وPixel XL | 8 كانون الثاني (يناير) 2015 |
ثغرة أمنية في ملف تشغيل ترميز الصوت في HTC تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل ترميز الصوت في HTC إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6778 | A-31384646* | عالية | Nexus 9 | 25 شباط (فبراير) 2016 |
| CVE-2016-6779 | A-31386004* | عالية | Nexus 9 | 25 شباط (فبراير) 2016 |
| CVE-2016-6780 | A-31251496* | عالية | Nexus 9 | 30 آب (أغسطس) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في تعريف مهايئ MediaTek تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل MediaTek إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مفوَّضة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6492 | A-28175122 MT-ALPS02696413 |
عالية | لا شيء* | 11 نيسان (أبريل) 2016 |
| CVE-2016-6781 | A-31095175 MT-ALPS02943455 |
عالية | لا شيء* | 22 آب (أغسطس) 2016 |
| CVE-2016-6782 | A-31224389 MT-ALPS02943506 |
عالية | لا شيء* | 24 آب (أغسطس) 2016 |
| CVE-2016-6783 | A-31350044 MT-ALPS02943437 |
عالية | لا شيء* | 6 أيلول (سبتمبر) 2016 |
| CVE-2016-6784 | A-31350755 MT-ALPS02961424 |
عالية | لا شيء* | 6 أيلول (سبتمبر) 2016 |
| CVE-2016-6785 | A-31748056 MT-ALPS02961400 |
عالية | لا شيء* | 25 أيلول (سبتمبر) 2016 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في حصول البرامج على أذونات مميزة وعالية المستوى في برامج ترميز وسائط Qualcomm
يمكن أن تؤدي ثغرة أمنية في الترميز والتشفير في برامج الترميز والتشفير لوسائط Qualcomm إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "مرتفعة" لأنّه يمكن استخدامها للحصول على إذن بالوصول على الجهاز إلى ميزات متقدّمة لا يمكن الوصول إليها عادةً من خلال تطبيق تابع لجهة خارجية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6761 | A-29421682*
QC-CR#1055792 |
عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel وPixel XL | 16 حزيران (يونيو) 2016 |
| CVE-2016-6760 | A-29617572*
QC-CR#1055783 |
عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel وPixel XL | 23 حزيران (يونيو) 2016 |
| CVE-2016-6759 | A-29982686*
QC-CR#1055766 |
عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel وPixel XL | 4 تموز (يوليو) 2016 |
| CVE-2016-6758 | A-30148882*
QC-CR#1071731 |
عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel وPixel XL | 13 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في ملف التمكين في برنامج تشغيل كاميرا Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل كاميرا Qualcomm لرفع مستوى الأذونات إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6755 | A-30740545 QC-CR#1065916 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 3 آب (أغسطس) 2016 |
ثغرة تتعلّق برفع مستوى الامتيازات في النظام الفرعي لأداء kernel
يمكن أن تؤدي ثغرة أمنية في رفع الأذونات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6786 | A-30955111 النواة الأساسية | عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 18 آب (أغسطس) 2016 |
| CVE-2016-6787 | A-31095224 النواة الأساسية | عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 22 آب (أغسطس) 2016 |
ثغرة أمنية في ملف التمكين MediaTek I2C driver
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل MediaTek I2C إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6788 | A-31224428 MT-ALPS02943467 |
عالية | لا شيء* | 24 آب (أغسطس) 2016 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى تجاوز الأذونات في مكتبة NVIDIA libomx
يمكن أن تؤدي ثغرة أمنية في مكتبة libomx من NVIDIA (libnvomx) إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي في سياق عملية مميّزة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للحصول على إذن بالوصول إلى ميزات متقدّمة على الجهاز، وهي ميزات لا يمكن عادةً لتطبيق تابع لجهة خارجية استخدامها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6789 | A-31251973*
N-CVE-2016-6789 |
عالية | Pixel C | 29 آب (أغسطس) 2016 |
| CVE-2016-6790 | A-31251628*
N-CVE-2016-6790 |
عالية | Pixel C | 28 آب (أغسطس) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في ملف التمكين في برنامج تشغيل الصوت من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6791 | A-31252384 QC-CR#1071809 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 31 آب (أغسطس) 2016 |
| CVE-2016-8391 | A-31253255 QC-CR#1072166 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 31 آب (أغسطس) 2016 |
| CVE-2016-8392 | A-31385862 QC-CR#1073136 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 8 أيلول (سبتمبر) 2016 |
ثغرة أمنية تتعلّق برفع مستوى الأذونات في النظام الفرعي للأمان في النواة
يمكن أن تؤدي ثغرة أمنية في نظام الأمان الفرعي للنواة إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-7872 | A-31253168 النواة الأساسية |
عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel وPixel XL | 31 آب (أغسطس) 2016 |
تصعيد الامتيازات الثغرة الأمنية في برنامج تشغيل شاشة اللمس من Synaptics
هناك ثغرة أمنية في برنامج تشغيل شاشة لمس Synaptics تؤدي إلى منح أذونات مميزة وعالية المستوى، ما يمكن أن يتيح لتطبيق ضار محلي تنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8393 | A-31911920* | عالية | Nexus 5X وNexus 6P وNexus 9 وAndroid One وPixel وPixel XL | 8 أيلول (سبتمبر) 2016 |
| CVE-2016-8394 | A-31913197* | عالية | Nexus 9 وAndroid One | 8 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تؤدي إلى تصعيد الامتيازات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9909 | A-31676542 B-RB#26684 |
عالية | لا شيء* | 21 أيلول (سبتمبر) 2016 |
| CVE-2014-9910 | A-31746399 B-RB#26710 |
عالية | لا شيء* | 26 أيلول (سبتمبر) 2016 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى الكشف عن المعلومات في برنامج تشغيل الفيديو من MediaTek
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل الفيديو من MediaTek إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى data الحساسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8396 | A-31249105 | عالية | لا شيء* | 26 آب (أغسطس) 2016 |
* لا تتأثر هذه المشكلة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل الفيديو من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من NVIDIA إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8397 | A-31385953* N-CVE-2016-8397 |
عالية | Nexus 9 | 8 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في نظام تحديد المواقع العالمي (GPS) تؤدي إلى حجب الخدمة
يمكن أن تؤدي ثغرة في الخدمة في مكوّن نظام تحديد المواقع العالمي (GPS) من Qualcomm إلى السماح لصاخبٍ عن بُعد بالتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها عالية نظرًا لاحتمالية حدوث هجوم حجب خدمة مؤقت عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5341 | A-31470303* | عالية | Nexus 6 وNexus 5X وNexus 6P وNexus 9 وAndroid One وPixel وPixel XL | 21 حزيران (يونيو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تؤدي إلى حجب الخدمة في برنامج تشغيل كاميرا NVIDIA
يمكن أن تؤدي ثغرة الخدمة في برنامج تشغيل كاميرا NVIDIA إلى السماح لأحد المهاجمين بتنفيذ هجوم حجب الخدمة بشكل دائم على الجهاز، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنّها عالية بسبب احتمالية حدوث رفض دائم للخدمات على مستوى الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8395 | A-31403040*
N-CVE-2016-8395 |
عالية | Pixel C | 9 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
تصعيد الأذونات الثغرة الأمنية في النظام الفرعي لشبكة kernel
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في النظام الفرعي للاتصال بالشبكة في kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها أولاً تتطلّب اختراق عملية مميّزة، كما أنّ تحسينات المُجمِّع الحالية تحظر الوصول إلى الرمز البرمجي المعنيّ بالثغرة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8399 | A-31349935* | متوسط | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 5 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في مكونات Qualcomm تؤدي إلى الكشف عن المعلومات
هناك ثغرة أمنية في مكونات Qualcomm تؤدي إلى الكشف عن المعلومات، بما في ذلك برنامج تشغيل الكاميرا وبرنامج تشغيل الفيديو، ما قد يسمح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الصعوبة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-6756 | A-29464815 QC-CR#1042068 [2] |
متوسط | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 17 حزيران (يونيو) 2016 |
| CVE-2016-6757 | A-30148242 QC-CR#1052821 |
متوسط | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL | 13 تموز (يوليو) 2016 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في مكتبة NVIDIA librm
هناك ثغرة أمنية في مكتبة librm (libnvrm) من NVIDIA تؤدي إلى الكشف عن المعلومات، وقد تسمح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" لأنّه يمكن استخدامها لمحاولة الوصول إلى البيانات الحسّاسة بدون إذن.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8400 | A-31251599*
N-CVE-2016-8400 |
متوسط | Pixel C | 29 آب (أغسطس) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في kernel المكوّنات تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الكشف عن المعلومات في مكوّنات kernel، بما في ذلك المنظومة الفرعية ION وBinder وبرنامج تشغيل USB والمنظومة الفرعية للشبكات، إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية حاصلة على امتيازات.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8401 | A-31494725* | متوسط | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 13 أيلول (سبتمبر) 2016 |
| CVE-2016-8402 | A-31495231* | متوسط | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 13 أيلول (سبتمبر) 2016 |
| CVE-2016-8403 | A-31495348* | متوسط | Nexus 9 | 13 أيلول (سبتمبر) 2016 |
| CVE-2016-8404 | A-31496950* | متوسط | Nexus 9 | 13 أيلول (سبتمبر) 2016 |
| CVE-2016-8405 | A-31651010* | متوسط | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 21 أيلول (سبتمبر) 2016 |
| CVE-2016-8406 | A-31796940* | متوسط | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وPixel C وNexus Player وPixel وPixel XL | 27 أيلول (سبتمبر) 2016 |
| CVE-2016-8407 | A-31802656* | متوسط | Nexus 5X وNexus 6 وNexus 6P وAndroid One وPixel وPixel XL | 28 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل الفيديو من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من NVIDIA إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8408 | A-31496571*
N-CVE-2016-8408 |
متوسط | Nexus 9 | 13 أيلول (سبتمبر) 2016 |
| CVE-2016-8409 | A-31495687*
N-CVE-2016-8409 |
متوسط | Nexus 9 | 13 أيلول (سبتمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Google المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل الصوت من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8410 | A-31498403 QC-CR#987010 |
متوسط | Nexus 5X وNexus 6 وNexus 6P وAndroid One | Google فقط |
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدّثًا لحلّ هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى تصحيح الأمان على الجهاز، يُرجى الاطّلاع على التعليمات الواردة في جدول تحديثات هواتف Pixel وأجهزة Nexus.
- تعالج مستويات تصحيحات الأمان بتاريخ 01/12/2016 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 01/12/2016.
- تعالج مستويات تصحيحات الأمان بتاريخ 05-12-2016 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05-12-2016 وجميع مستويات التصحيحات السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التعديلات ضبط مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2016-12-01]
- [ro.build.version.security_patch]:[2016-12-05]
2. لماذا تتضمّن هذه النشرة الإخبارية مستويَين لرمز تصحيح الأمان؟
تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان ليتمكّن شركاء Android من تعديل مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بحلّ جميع المشاكل المذكورة في هذه النشرة واستخدام أحدث مستوى من تصحيحات الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 كانون الأول (ديسمبر) 2016 كلّ المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لكلّ المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 كانون الأول (ديسمبر) 2016 أو إصدارًا أحدث جميع التصحيحات السارية في نشرات الأمان هذه (والسابقة).
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google المتأثّرة بكل مشكلة؟
في قسمَي تفاصيل ثغرات الأمان بتاريخ 01-12-2016 و05-12-2016، يحتوي كل جدول على عمود أجهزة Google التي تم تعديلها يعرض نطاق أجهزة Google المتأثرة التي تم تعديلها لحلّ كل مشكلة. يتضمّن هذا العمود بعض الخيارات:
- جميع أجهزة Google: إذا كانت المشكلة تؤثر في كل من أجهزة Pixel و"جميع الأجهزة"، سيظهر "كل الأجهزة" في عمود أجهزة Google التي تم تحديثها. يشمل خيار "الكل" الأجهزة المتوافقة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
- بعض أجهزة Google: إذا لم تؤثّر المشكلة في جميع أجهزة Google ، يتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google التي تم تحديثها.
- لا تتوفّر أجهزة Google: إذا لم تتأثّر المشكلة بأي أجهزة Google تعمل بنظام التشغيل Android 7.0 ، سيظهر "لا يتوفّر" في عمود أجهزة Google التي تم تحديثها.
4. ما هي العناصر التي ترتبط بها الإدخالات في عمود "المراجع"؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم ربط هذه البادئات على النحو التالي:
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
إصدارات
- 5 كانون الأول (ديسمبر) 2016: تم نشر النشرة.
- 7 كانون الأول (ديسمبر) 2016: تم تعديل النشرة لتضمين روابط AOSP وتعديل عملية تحديد المصدر لـ CVE-2016-6915 وCVE-2016-6916 وCVE-2016-6917.
- 21 كانون الأول (ديسمبر) 2016: تم تصحيح الأخطاء الإملائية في وصف CVE-2016-8411 و الأسئلة الشائعة والأجوبة.