تم النشر في 03 يناير 2017 | تم التحديث في 2 فبراير 2017
تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Google من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 يناير 2017 أو الإصدارات الأحدث جميع هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني للجهاز.
تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 05 ديسمبر 2016 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات في مستودع Android Open Source Project (AOSP) وتم ربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.
أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
الإعلانات
- تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
- 01/01/2017 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 01-01-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- 05/01/2017 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة جميع المشكلات المرتبطة بـ 01-01-2017 و05-01-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
- ستتلقى أجهزة Google المدعومة تحديثًا واحدًا عبر الهواء مع مستوى تصحيح الأمان بتاريخ 05 يناير 2017.
ملخص الضعف الأمني
تحتوي الجداول أدناه على قائمة بالثغرات الأمنية، ومعرف الثغرات الأمنية وحالات التعرض الشائعة (CVE)، ومدى الخطورة المقدرة، وما إذا كانت أجهزة Google متأثرة أم لا. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
عمليات تخفيف خدمات Android وGoogle
هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة، مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.
- أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
- يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
- حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.
شكر وتقدير
ونود أن نشكر هؤلاء الباحثين على مساهماتهم:
- ألكسندرو بلاندا: CVE-2017-0390
- دانيال ميكاي من شركة Copperhead Security: CVE-2017-0397
- Daxing Guo ( @freener0 ) من Xuanwu Lab، Tencent: CVE-2017-0386
- ديريك ( @derrekr6 ): CVE-2017-0392
- دي شين ( @returnsme ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-8412، CVE-2016-8444، CVE-2016-8427، CVE-2017-0403
- donfos (أرافيند ماشيري) من فريق Shellphish Grill، جامعة كاليفورنيا في سانتا باربرا: CVE-2016-8448، CVE-2016-8470، CVE-2016-8471، CVE-2016-8472
- En He ( @heeeeen4x ) من MS509Team : CVE-2017-0394
- Gengjia Chen ( @chengjia4574 ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
- فريق Google WebM: CVE-2017-0393
- Guang Gong (龚广) ( @oldfresher ) من Alpha Team، Qihoo 360 Technology Co. Ltd .: CVE-2017-0387
- Hao Chen وGuang Gong من Alpha Team، Qihoo 360 Technology Co. Ltd.: CVE-2016-8415، CVE-2016-8454، CVE-2016-8455، CVE-2016-8456، CVE-2016-8457، CVE-2016 -8465
- Jianqiang Zhao ( @jianqiangzhao ) و pjf من IceSword Lab، Qihoo 360: CVE-2016-8475
- جون سوير ( @jcase ) وشون بوبر ( @firewaterdevs ): CVE-2016-8462
- جون سوير ( @jcase )، وشون بوبر ( @firewaterdevs )، وبن أكتيس ( @Ben_RA ): CVE-2016-8461
- Mingjian Zhou ( @Mingjian_Zhou )، وYuqi Lu ( @nikos233 )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2017-0383
- الراهب أفيل: CVE-2017-0396، CVE-2017-0399
- Peter Pi ( @heisecode ) من Trend Micro: CVE-2016-8469، CVE-2016-8424، CVE-2016-8428، CVE-2016-8429، CVE-2016-8460، CVE-2016-8473، CVE-2016- 8474
- Qidan He (何淇丹) ( @flanker_hqd ) من KeenLab، Tencent (腾讯科恩实验室): CVE-2017-0382
- Roee Hay وMichael Goberman من IBM Security X-Force: CVE-2016-8467
- Seven Shen ( @lingtongshen ) من فريق أبحاث Trend Micro Mobile Threat Research: CVE-2016-8466
- ستيفن مورو: CVE-2017-0389
- VEO ( @VYSEa ) لفريق أبحاث تهديدات الأجهزة المحمولة، Trend Micro : CVE-2017-0381
- Weichao Sun ( @sunblate ) من شركة Alibaba Inc.: CVE-2017-0391
- Wenke Dou ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2017-0402، CVE-2017-0398
- Wenke Dou و Hanxiang Wen و Chiachih Wu ( @chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2017-0400
- Wenke Dou ، وHongli Han ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2017-0384، CVE-2017-0385
- Wenke Dou و Yuqi Lu ( @nikos233 ) وChiachih Wu ( @chiachih_wu ) وXuxian Jiang من فريق C0RE : CVE-2017-0401
- Yao Jun و Yuan-Tsung Lo و Chiachih Wu ( @chiachih_wu ) وXuxian Jiang من فريق C0RE : CVE-2016-8431، CVE-2016-8432، CVE-2016-8435
- Yong Wang (王勇) ( @ThomasKing2014 ) وJun Cheng من شركة Alibaba Inc.: CVE-2017-0404
- Yuan-Tsung Lo ، وTong Lin ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-8425، CVE-2016-8426، CVE-2016-8449
- Yuan-Tsung Lo ، وYanfeng Wang ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-8430، CVE-2016-8482
- Yuxiang Li ( @Xbalien29 ) من قسم منصة Tencent Security: CVE-2017-0395
- Zhanpeng Zhao (行之) ( @0xr0ot ) من Security Research Lab، Cheetah Mobile : CVE-2016-8451
كما نود أن نشكر الباحثين التاليين على مساهماتهم في هذه النشرة:
- باوزنغ دينغ، وتشنجمينغ يانغ، وبنغ شياو، ونينغ يو، ويانغ دونغ، وتشاو يانغ، ويي تشانغ، ويانغ سونغ من مجموعة Alibaba Mobile Security Group
- بيتر باي ( @heisecode ) من Trend Micro
- زوبين ميثرا من جوجل
01-01-2017 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-01-2017. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في c-ares
يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في c-ares إلى تمكين المهاجم باستخدام طلب معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في تطبيق يستخدم هذه المكتبة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-5180 | أ-32205736 | عالي | الجميع | 7.0 | 29 سبتمبر 2016 |
ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Framesequence
قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في مكتبة Framesequence إلى تمكين المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بأي امتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في تطبيق يستخدم مكتبة Framesequence.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0382 | أ-32338390 | عالي | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 21 أكتوبر 2016 |
رفع مستوى الضعف في الامتيازات في Framework APIs
قد تؤدي زيادة ثغرة الامتيازات في واجهات برمجة تطبيقات Framework إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0383 | أ-31677614 | عالي | الجميع | 7.0، 7.1.1 | 21 سبتمبر 2016 |
رفع ثغرة الامتياز في Audioserver
قد تؤدي زيادة ثغرة الامتيازات في Audioserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0384 | أ-32095626 | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 11 أكتوبر 2016 |
| CVE-2017-0385 | أ-32585400 | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 11 أكتوبر 2016 |
رفع ثغرة الامتياز في libnl
قد تؤدي زيادة ثغرة الامتيازات في مكتبة libnl إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0386 | أ-32255299 | عالي | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 18 أكتوبر 2016 |
رفع ثغرة الامتياز في Mediaserver
قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0387 | أ-32660278 | عالي | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 4 نوفمبر 2016 |
ثغرة أمنية في الكشف عن المعلومات في موفر التخزين الخارجي
قد تؤدي ثغرة الكشف عن المعلومات في موفر وحدة التخزين الخارجية إلى تمكين مستخدم ثانوي محلي من قراءة البيانات من بطاقة SD للتخزين الخارجي التي أدخلها المستخدم الأساسي. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0388 | أ-32523490 | عالي | الجميع | 6.0، 6.0.1، 7.0، 7.1.1 | جوجل الداخلية |
الحرمان من ثغرة الخدمة في الشبكات الأساسية
قد تؤدي ثغرة رفض الخدمة في الشبكة الأساسية إلى تمكين المهاجم عن بعد من استخدام حزمة الشبكة المصممة خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0389 | ا-31850211 [ 2 ] [ 3 ] | عالي | الجميع | 6.0، 6.0.1، 7.0، 7.1.1 | 20 يوليو 2016 |
الحرمان من ثغرة الخدمة في Mediaserver
قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين مهاجم عن بعد من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0390 | أ-31647370 | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 19 سبتمبر 2016 |
| CVE-2017-0391 | أ-32322258 | عالي | الجميع | 6.0، 6.0.1، 7.0، 7.1.1 | 20 أكتوبر 2016 |
| CVE-2017-0392 | أ-32577290 | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 29 أكتوبر 2016 |
| CVE-2017-0393 | أ-30436808 | عالي | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | جوجل الداخلية |
الحرمان من ثغرة الخدمة في الاتصالات الهاتفية
قد تؤدي ثغرة رفض الخدمة في الاتصالات الهاتفية إلى تمكين مهاجم عن بعد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0394 | أ-31752213 | عالي | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 23 سبتمبر 2016 |
رفع ثغرة الامتياز في جهات الاتصال
قد تؤدي زيادة ثغرة الامتيازات في جهات الاتصال إلى تمكين تطبيق ضار محلي من إنشاء معلومات جهة اتصال بصمت. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم (الوصول إلى الوظيفة التي تتطلب عادةً بدء المستخدم أو إذن المستخدم).
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0395 | أ-32219099 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 15 أكتوبر 2016 |
ثغرة الكشف عن المعلومات في Mediaserver
يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0381 | أ-31607432 | معتدل | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 18 سبتمبر 2016 |
| CVE-2017-0396 | أ-31781965 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 27 سبتمبر 2016 |
| CVE-2017-0397 | أ-32377688 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 21 أكتوبر 2016 |
ثغرة أمنية في الكشف عن المعلومات في Audioserver
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في Audioserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0398 | أ-32438594 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0398 | أ-32635664 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0398 | أ-32624850 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0399 | ا-32247948 [ 2 ] | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 18 أكتوبر 2016 |
| CVE-2017-0400 | ا-32584034 [ 2 ] | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0401 | أ-32448258 | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 26 أكتوبر 2016 |
| CVE-2017-0402 | ا-32436341 [ 2 ] | معتدل | الجميع | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 25 أكتوبر 2016 |
05-01-2017 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية
في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2017-01-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.
رفع ثغرة الامتياز في النظام الفرعي لذاكرة kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-3288 | أ-32460277 نواة المنبع | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 9 يوليو 2015 |
رفع ثغرة الامتياز في أداة تحميل التشغيل Qualcomm
قد تؤدي زيادة ثغرة الامتيازات في أداة تحميل التشغيل Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8422 | أ-31471220 مراقبة الجودة-CR#979426 | شديد الأهمية | نيكزس 6، نيكزس 6P، بكسل، بكسل XL | 22 يوليو 2016 |
| CVE-2016-8423 | أ-31399736 مراقبة الجودة-CR#1000546 | شديد الأهمية | نيكزس 6P، بكسل، بكسل XL | 24 أغسطس 2016 |
رفع ثغرة الامتياز في نظام ملفات kernel
قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-5706 | أ-32289301 نواة المنبع | شديد الأهمية | لا أحد* | 1 أغسطس 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8424 | أ-31606947* N-CVE-2016-8424 | شديد الأهمية | نيكزس 9 | 17 سبتمبر 2016 |
| CVE-2016-8425 | أ-31797770* N-CVE-2016-8425 | شديد الأهمية | نيكزس 9 | 28 سبتمبر 2016 |
| CVE-2016-8426 | أ-31799206* N-CVE-2016-8426 | شديد الأهمية | نيكزس 9 | 28 سبتمبر 2016 |
| CVE-2016-8482 | أ-31799863* N-CVE-2016-8482 | شديد الأهمية | نيكزس 9 | 28 سبتمبر 2016 |
| CVE-2016-8427 | أ-31799885* N-CVE-2016-8427 | شديد الأهمية | نيكزس 9 | 28 سبتمبر 2016 |
| CVE-2016-8428 | أ-31993456* N-CVE-2016-8428 | شديد الأهمية | نيكزس 9 | 6 أكتوبر 2016 |
| CVE-2016-8429 | أ-32160775* N-CVE-2016-8429 | شديد الأهمية | نيكزس 9 | 13 أكتوبر 2016 |
| CVE-2016-8430 | أ-32225180* N-CVE-2016-8430 | شديد الأهمية | نيكزس 9 | 17 أكتوبر 2016 |
| CVE-2016-8431 | أ-32402179* N-CVE-2016-8431 | شديد الأهمية | بكسل سي | 25 أكتوبر 2016 |
| CVE-2016-8432 | أ-32447738* N-CVE-2016-8432 | شديد الأهمية | بكسل سي | 26 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل MediaTek
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8433 | أ-31750190* MT-ALPS02974192 | شديد الأهمية | لا أحد** | 24 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm GPU
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8434 | أ-32125137 مراقبة الجودة-CR#1081855 | شديد الأهمية | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 12 أكتوبر 2016 |
رفع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8435 | أ-32700935* N-CVE-2016-8435 | شديد الأهمية | بكسل سي | 7 نوفمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8436 | أ-32450261 مراقبة الجودة-CR#1007860 | شديد الأهمية | لا أحد* | 13 أكتوبر 2016 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
ثغرات أمنية في مكونات كوالكوم
تؤثر الثغرات الأمنية التالية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرات Qualcomm AMSS لشهر نوفمبر 2015 وأغسطس 2016 وسبتمبر 2016 وأكتوبر 2016.
| مكافحة التطرف العنيف | مراجع | خطورة* | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8438 | أ-31624565** | شديد الأهمية | لا أحد*** | كوالكوم الداخلية |
| CVE-2016-8442 | أ-31625910** | شديد الأهمية | لا أحد*** | كوالكوم الداخلية |
| CVE-2016-8443 | أ-32576499** | شديد الأهمية | لا أحد*** | كوالكوم الداخلية |
| CVE-2016-8437 | أ-31623057** | عالي | لا أحد*** | كوالكوم الداخلية |
| CVE-2016-8439 | أ-31625204** | عالي | لا أحد*** | كوالكوم الداخلية |
| CVE-2016-8440 | أ-31625306** | عالي | لا أحد*** | كوالكوم الداخلية |
| CVE-2016-8441 | أ-31625904** | عالي | لا أحد*** | كوالكوم الداخلية |
| CVE-2016-8398 | أ-31548486** | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | كوالكوم الداخلية |
| CVE-2016-8459 | أ-32577972** | عالي | لا أحد*** | كوالكوم الداخلية |
| CVE-2016-5080 | أ-31115235** | معتدل | نيكزس 5X | كوالكوم الداخلية |
* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.
** التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
*** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في كاميرا Qualcomm
قد تؤدي زيادة ثغرة الامتياز في كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8412 | أ-31225246 مراقبة الجودة-CR#1071891 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL | 26 أغسطس 2016 |
| CVE-2016-8444 | أ-31243641* مراقبة الجودة-CR#1074310 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P | 26 أغسطس 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في مكونات MediaTek
قد يؤدي ارتفاع ثغرة الامتياز في مكونات MediaTek، بما في ذلك برنامج التشغيل الحراري وبرنامج تشغيل الفيديو، إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8445 | أ-31747590* MT-ALPS02968983 | عالي | لا أحد** | 25 سبتمبر 2016 |
| CVE-2016-8446 | أ-31747749* MT-ALPS02968909 | عالي | لا أحد** | 25 سبتمبر 2016 |
| CVE-2016-8447 | أ-31749463* MT-ALPS02968886 | عالي | لا أحد** | 25 سبتمبر 2016 |
| CVE-2016-8448 | أ-31791148* MT-ALPS02982181 | عالي | لا أحد** | 28 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8415 | أ-31750554 مراقبة الجودة-CR#1079596 | عالي | نيكزس 5X، بكسل، بكسل XL | 26 سبتمبر 2016 |
رفع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8449 | أ-31798848* N-CVE-2016-8449 | عالي | نيكزس 9 | 28 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8450 | أ-32450563 مراقبة الجودة-CR#880388 | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان | 13 أكتوبر 2016 |
رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8451 | أ-32178033* | عالي | لا أحد** | 13 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.
رفع ثغرة الامتياز في النظام الفرعي لأمان kernel
يمكن أن تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-7042 | أ-32178986 نواة المنبع | عالي | بكسل سي | 14 أكتوبر 2016 |
رفع ثغرة الامتياز في النظام الفرعي لأداء kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0403 | أ-32402548* | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL | 25 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في النظام الفرعي للصوت kernel
قد تؤدي زيادة ثغرة الامتياز في النظام الفرعي للصوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0404 | أ-32510733* | عالي | نيكزس 5X، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير، بكسل، بكسل XL | 27 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8452 | أ-32506396 مراقبة الجودة-CR#1050323 | عالي | نيكزس 5X، أندرويد وان، بيكسل، بيكسل XL | 28 أكتوبر 2016 |
رفع ثغرة الامتياز في برنامج تشغيل راديو Qualcomm
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل راديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5345 | أ-32639452 مراقبة الجودة-CR#1079713 | عالي | أندرويد وان | 3 نوفمبر 2016 |
رفع ثغرة الامتياز في النظام الفرعي لملف تعريف kernel
قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لملف تعريف kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-9754 | أ-32659848 نواة المنبع | عالي | نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير | 4 نوفمبر 2016 |
رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8453 | أ-24739315* ب-رب #73392 | عالي | نيكزس 6 | جوجل الداخلية |
| CVE-2016-8454 | أ-32174590* ب-رب #107142 | عالي | نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير | 14 أكتوبر 2016 |
| CVE-2016-8455 | أ-32219121* ب-رب #106311 | عالي | نيكزس 6P | 15 أكتوبر 2016 |
| CVE-2016-8456 | أ-32219255* ب-رب #105580 | عالي | نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير | 15 أكتوبر 2016 |
| CVE-2016-8457 | أ-32219453* ب-رب #106116 | عالي | نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C | 15 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8458 | أ-31968442* | عالي | نيكزس 5X، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل، بكسل XL | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8460 | أ-31668540* N-CVE-2016-8460 | عالي | نيكزس 9 | 21 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في أداة تحميل التشغيل
يمكن أن تؤدي ثغرة الكشف عن المعلومات في أداة تحميل التشغيل إلى تمكين مهاجم محلي من الوصول إلى البيانات خارج مستوى الإذن الخاص به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8461 | أ-32369621* | عالي | نيكزس 9، بكسل، بكسل XL | 21 أكتوبر 2016 |
| CVE-2016-8462 | أ-32510383* | عالي | بكسل، بكسل XL | 27 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في رفض الخدمة في نظام ملفات Qualcomm FUSE
قد تؤدي ثغرة رفض الخدمة في نظام ملفات Qualcomm FUSE إلى تمكين المهاجم عن بعد من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8463 | أ-30786860 مراقبة الجودة-CR#586855 | عالي | لا أحد* | 03 يناير 2014 |
* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.
الحرمان من ثغرة الخدمة في أداة تحميل التشغيل
قد تؤدي ثغرة رفض الخدمة في أداة تحميل التشغيل إلى تمكين المهاجم من التسبب في رفض الخدمة المحلي الدائم، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة محليًا بشكل دائم.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8467 | أ-30308784* | عالي | نيكزس 6، نيكزس 6P | 29 يونيو 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi
قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة ويتم تخفيفها من خلال تكوينات النظام الأساسي الحالية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8464 | أ-29000183* ب-رب #106314 | معتدل | نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير | 26 مايو 2016 |
| CVE-2016-8466 | أ-31822524* ب-رب #105268 | معتدل | نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير | 28 سبتمبر 2016 |
| CVE-2016-8465 | أ-32474971* ب-رب #106053 | معتدل | نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير | 27 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
رفع ثغرة الامتياز في Binder
قد تؤدي زيادة ثغرة الامتيازات في Binder إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة ويتم تخفيفها من خلال تكوينات النظام الأساسي الحالية.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8468 | أ-32394425* | معتدل | بكسل سي، بكسل، بكسل XL | جوجل الداخلية |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل كاميرا NVIDIA
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الكاميرا إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8469 | أ-31351206* N-CVE-2016-8469 | معتدل | نيكزس 9 | 7 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل MediaTek
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8470 | أ-31528889* MT-ALPS02961395 | معتدل | لا أحد** | 15 سبتمبر 2016 |
| CVE-2016-8471 | أ-31528890* MT-ALPS02961380 | معتدل | لا أحد** | 15 سبتمبر 2016 |
| CVE-2016-8472 | أ-31531758* MT-ALPS02961384 | معتدل | لا أحد** | 15 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل STMicroelectronics
قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل STMicroelectronics إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8473 | أ-31795790* | معتدل | نيكزس 5X، نيكزس 6P | 28 سبتمبر 2016 |
| CVE-2016-8474 | أ-31799972* | معتدل | نيكزس 5X، نيكزس 6P | 28 سبتمبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
ثغرة أمنية في الكشف عن المعلومات في معالج الصوت Qualcomm Post
يمكن أن تؤدي ثغرة الكشف عن المعلومات في معالج نشر الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تحديث إصدارات AOSP | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0399 | ا-32588756 [ 2 ] | معتدل | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 18 أكتوبر 2016 |
| CVE-2017-0400 | ا-32438598 [ 2 ] | معتدل | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 25 أكتوبر 2016 |
| CVE-2017-0401 | أ-32588016 | معتدل | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 26 أكتوبر 2016 |
| CVE-2017-0402 | ا-32588352 [ 2 ] | معتدل | الجميع | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 25 أكتوبر 2016 |
ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل إدخال HTC
قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل إدخال HTC إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-8475 | أ-32591129* | معتدل | بكسل، بكسل XL | 30 أكتوبر 2016 |
* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .
الحرمان من ثغرة الخدمة في نظام ملفات kernel
قد تؤدي ثغرة رفض الخدمة في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها متوسطة لأنها عبارة عن رفض مؤقت للخدمة ويتطلب إعادة ضبط المصنع لإصلاحها.
| مكافحة التطرف العنيف | مراجع | خطورة | أجهزة جوجل المحدثة | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9420 | أ-32477499 نواة المنبع | معتدل | بكسل سي | 25 ديسمبر 2014 |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟
لمعرفة كيفية التحقق من مستوى التصحيح الأمني للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .
- تعالج مستويات تصحيح الأمان 01-01-2017 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 01-01-2017.
- مستويات تصحيح الأمان لعام 2017-01-05 أو فيما بعد معالجة جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2017-01-05 وجميع مستويات التصحيح السابقة.
يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]: [2017-01-01]
- [ro.build.version.security_patch]: [2017-01-05]
2. لماذا تحتوي هذه النشرة على مستويين من التصحيح الأمني؟
تحتوي هذه النشرة على مستويين من التصحيح الأمني بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 1 يناير 2017 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا ، بالإضافة إلى إصلاحات لجميع المشكلات الواردة في نشرات الأمان السابقة.
- يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 يناير 2017 أو الأحدث جميع التصحيحات المطبقة في هذه النشرات الأمان (والسابقة).
يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google التي تتأثر بكل مشكلة؟
في أقسام تفاصيل أمن الأمان 2017-01-01 و 2017-01-05 ، يحتوي كل جدول على عمود محدث لأجهزة Google ويغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:
- جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على جميع أجهزة البكسل وأجهزة البكسل ، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . "الكل" يلف الأجهزة المدعومة التالية: Nexus 5x ، Nexus 6 ، Nexus 6P ، Nexus 9 ، Android One ، Nexus Player ، Pixel C ، Pixel ، و Pixel XL.
- بعض أجهزة Google : إذا لم تؤثر مشكلة على جميع أجهزة Google ، يتم سرد أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
- لا توجد أجهزة Google : إذا لم تتأثر أي أجهزة Google التي تقوم بتشغيل أحدث إصدار متاح من Android بالمشكلة ، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Google المحدثة .
4. ماذا تفعل الإدخالات في خريطة عمود المراجع؟
قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. خريطة البادئات هذه على النحو التالي:
| بادئة | مرجع |
|---|---|
| أ- | معرف خطأ أندرويد |
| مراقبة الجودة- | الرقم المرجعي لشركة كوالكوم |
| م- | الرقم المرجعي لميديا تيك |
| ن- | الرقم المرجعي لـ NVIDIA |
| ب- | الرقم المرجعي من برودكوم |
التنقيحات
- 03 يناير 2017: نشرة نشرت.
- 04 يناير 2017: نشرة منقحة لتشمل روابط AOSP.
- 05 يناير 2017: رقم إصدار AOSP الموضح من 7.1 إلى 7.1.1.
- 12 كانون الثاني (يناير) 2017: تم إزالته إدخال مكرر لـ CVE-2016-8467.
- 24 يناير 2017: وصف محدث وشدة لـ CVE-2017-0381.
- 2 فبراير 2017: تم تحديث CVE-2017-0389 مع رابط تصحيح إضافي.