تاريخ النشر: 1 أيار (مايو) 2017 | تاريخ التعديل: 3 تشرين الأول (أكتوبر) 2017
يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. إلى جانب نشرة الأمان، أصدرنا تحديثًا لأمان أجهزة Nexus من خلال تحديث عبر شبكة غير سلكية (OTA). تم أيضًا طرح صور ملف التمهيد لأجهزة Google على موقع "مطوّرو تطبيقات Google". تعالج مستويات تصحيحات الأمان في 5 أيار (مايو) 2017 أو الإصدارات الأحدث كل هذه المشاكل. يمكنك الرجوع إلى جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus للتعرّف على كيفية التحقّق من مستوى تصحيح الأمان على الجهاز.
تم إشعار الشركاء بالمشاكل الموضّحة في النشرة بتاريخ 3 نيسان (أبريل) 2017 أو قبل ذلك. تم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) ويمكن الوصول إليها من خلال هذا الإشعار. تتضمّن هذه النشرة أيضًا روابط إلى تصحيحات خارج إطار AOSP.
إنّ أخطر هذه المشاكل هي ثغرة أمنية خطيرة يمكن أن تؤدي إلى تفعيل تنفيذ الرموز البرمجية عن بُعد على جهاز متأثر من خلال طُرق متعدّدة، مثل البريد الإلكتروني وتصفّح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يستند تقييم الصعوبة إلى التأثير الذي قد يُحدثه استغلال الثغرة الأمنية في الجهاز المتأثّر، بافتراض أنّه تم إيقاف تدابير التخفيف في النظام الأساسي والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
لم نتلقّ أي بلاغات عن استغلال العملاء أو إساءة استخدام هذه المشاكل التي تم الإبلاغ عنها حديثًا. يُرجى الرجوع إلى قسم الحماية من هجمات أمان Android وخدمات Google للاطّلاع على تفاصيل حول الحماية من هجمات أمان نظام Android وحماية الخدمات، مثل SafetyNet، التي تحسِّن من أمان نظام Android الأساسي.
وننصحك بقبول هذه التحديثات على أجهزتك.
الإشعارات
- تتضمّن هذه النشرة سلسلتَين لمستوى تصحيح الأمان من أجل منح شركاء Android
مرونة أكبر في إصلاح مجموعة فرعية من الثغرات الأمنية
المشابهة على جميع أجهزة Android بشكل أسرع. يمكنك الاطّلاع على الأسئلة الشائعة والإجابات عنها للحصول على
معلومات إضافية:
- 2017-05-01: سلسلة جزئية لمستوى رمز تصحيح الأمان تشير سلسلة ملف تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بتاريخ 01-05-2017 (وجميع سلاسل مستويات تصحيحات الأمان السابقة).
- 2017-05-05: سلسلة كاملة لمستوى رمز تصحيح الأمان تشير سلسلة رمز تصحيح الأمان هذه إلى أنّه تم حلّ جميع المشاكل المرتبطة بالتاريخَين 01-05-2017 و05-05-2017 (وجميع سلاسل مستويات رمز تصحيح الأمان السابقة).
- ستتلقّى أجهزة Google المتوافقة تحديثًا واحدًا عبر شبكة غير سلكية يتضمّن مستوى تصحيح الأمان بتاريخ 5 أيار (مايو) 2017.
إجراءات التخفيف في Android وخدمات Google
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام أمان Android ووسائل حماية الخدمات، مثل SafetyNet. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- إنّ استغلال العديد من المشاكل على Android أصبح أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. وننصحك جميع المستخدمين بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يراقب فريق أمان Android الاستخدام المسيء للتطبيقات من خلال التحقّق من التطبيقات وSafetyNet، اللذَين تم تصميمهما لتحذير المستخدمين من التطبيقات التي قد تكون ضارة. تكون ميزة "التحقّق من التطبيقات" مفعّلة تلقائيًا على الأجهزة التي تعمل بـ خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبتون التطبيقات من خارج Google Play. يُحظر استخدام أدوات برمجة التطبيقات لمنح أذونات الوصول إلى الجذر على Google Play، ولكن تحذّر ميزة "التحقّق من التطبيقات" المستخدمين عند محاولة تثبيت تطبيق تم رصده يمنح أذونات الوصول إلى الجذر، بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة "التحقق من التطبيقات" تحديد وتثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة تتعلّق بتعزيز الأذونات وحظرها. إذا سبق تثبيت تطبيق مماثل، ستُرسِل ميزة "التحقّق من التطبيقات" إشعارًا إلى المستخدم وستحاول إزالة التطبيق الذي تم رصده.
- لا تُرسِل تطبيقات Google Hangouts وMessenger الوسائط تلقائيًا إلى عمليات مثل Mediaserver، وذلك حسب الاقتضاء.
الشكر والتقدير
نشكر الباحثين التاليين على مساهماتهم:
- ADlab من Venustech: CVE-2017-0630
- دي شين (@returnsme) من KeenLab (@keen_lab)، شركة Tencent: CVE-2016-10287
- إيكولار شو (徐健) من Trend Micro: CVE-2017-0599 وCVE-2017-0635
- إنّ "هين" (@heeeeen4x) وبو ليو من MS509Team: CVE-2017-0601
- إيثان يونكر من Team Win Recovery Project: CVE-2017-0493
- Gengjia Chen (@chengjia4574) وpjf من مختبر IceSword، شركة Qihoo 360 Technology Co. Ltd: CVE-2016-10285 وCVE-2016-10288 وCVE-2016-10290 وCVE-2017-0624 وCVE-2017-0616 وCVE-2017-0617 وCVE-2016-10294 وCVE-2016-10295 وCVE-2016-10296
- غودفنغ (郑文选 @VirtualSeekers) من Tencent PC Manager: CVE-2017-0602
- Güliz Seray Tuncay من جامعة إلينوي في Urbana-Champaign: CVE-2017-0593
- هاو تشين وغوانغ غون من فريق Alpha، شركة Qihoo 360 Technology Co. Ltd: CVE-2016-10283
- "جوهو ني" و"يانغ تشنغ" و"نان لي" و"كيو وو هوانغ" من شركة Xiaomi Inc: CVE-2016-10276
- Michał Bednarski: CVE-2017-0598
- "ناثان كراندال" (@natecray) من فريق أمان المنتجات في Tesla: CVE-2017-0331 وCVE-2017-0606
- Niky1235 (@jiych_guru): CVE-2017-0603
- بينغ شياو، وتشنغمينغ يانغ، وننغ يو، وتشاو يانغ، ويانينغ سونغ من مجموعة Alibaba أمان الأجهزة الجوّالة: CVE-2016-10281 وCVE-2016-10280
- روعي ها (@roeehay) من Aleph Research: CVE-2016-10277
- سكوت باور (@ScottyBauer1): CVE-2016-10274
- تونغ لين ويوان-تسونغ لو وشيكسيان جيانغ من فريق C0RE: CVE-2016-10291
- فاسيليوس فاسيليف: CVE-2017-0589
- V.E.O (@VYSEa) من فريق استجابة التهديدات على الأجهزة الجوّالة في Trend Micro: CVE-2017-0590 وCVE-2017-0587 وCVE-2017-0600
- شيلينغ غون من قسم منصّة الأمان في Tencent: CVE-2017-0597
- شينغيانغ لين من فريق 360 Marvel: CVE-2017-0627
- "يونغ وانغ" (王勇) (@ThomasKing2014) من شركة Alibaba Inc: CVE-2017-0588
- يونغغانغ قوه (@guoygang) من مختبر IceSword، شركة Qihoo 360 Technology Co. Ltd: CVE-2016-10289 وCVE-2017-0465
- "يو بان" من فريق Vulpecker، شركة Qihoo 360 Technology Co. Ltd: CVE-2016-10282، CVE-2017-0615
- "يو بان" و"باي دي زانغ" من فريق Vulpecker، شركة Qihoo 360 Technology Co. Ltd: CVE-2017-0618 وCVE-2017-0625
مستوى رمز تصحيح الأمان في 1-05-2017: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 01-05-2017. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمراجع المرتبط بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في Mediaserver تتيح تنفيذ رمز برمجي عن بُعد
يمكن أن تسمح ثغرة أمنية لتنفيذ رموز برمجية عن بُعد في Mediaserver لمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمز عن بُعد في سياق عملية Mediaserver.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 4 كانون الثاني (يناير) 2017 |
| CVE-2017-0588 | A-34618607 | حرِج | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 21 كانون الثاني (يناير) 2017 |
| CVE-2017-0589 | A-34897036 | حرِج | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 1 شباط (فبراير) 2017 |
| CVE-2017-0590 | A-35039946 | حرِج | الكل | 5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 6 شباط (فبراير) 2017 |
| CVE-2017-0591 | A-34097672 | حرِج | الكل | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | Google فقط |
| CVE-2017-0592 | A-34970788 | حرِج | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | Google فقط |
ثغرة أمنية في واجهة برمجة التطبيقات لإطار العمل تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة تصعيد الامتيازات في واجهات برمجة تطبيقات Framework إلى السماح لتطبيق محلي ضار بالحصول على أذونات مخصّصة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تؤدي إلى تجاوز عام لإجراءات الحماية في نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 5 كانون الثاني (يناير) 2017 |
ثغرة أمنية في Mediaserver تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في Mediaserver تؤدي إلى الحصول على امتيازات إضافية إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "مرتفعة" لأنّه يمكن استخدامها للحصول على إذن بالوصول على الجهاز إلى ميزات متقدّمة لا يمكن الوصول إليها عادةً من خلال تطبيق تابع لجهة خارجية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 22 كانون الثاني (يناير) 2017 |
| CVE-2017-0595 | A-34705519 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 24 كانون الثاني (يناير) 2017 |
| CVE-2017-0596 | A-34749392 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 | 24 كانون الثاني (يناير) 2017 |
ثغرة أمنية في Audioserver تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في Audioserver إلى تمكين تطبيق محلي ضار من تنفيذ رمز عشوائي في سياق عملية مفوَّضة. تم تصنيف هذه المشكلة على أنّها "مرتفعة" لأنّه يمكن استخدامها للحصول على إذن بالوصول على الجهاز إلى ميزات متقدّمة لا يمكن الوصول إليها عادةً من خلال تطبيق تابع لجهة خارجية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 25 كانون الثاني (يناير) 2017 |
ثغرة أمنية في Framework APIs تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في أمان الإفصاح عن المعلومات في واجهات برمجة تطبيقات Framework إلى السماح لتطبيق محلي ضار بتجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى بيانات لا يمكن للتطبيق الوصول إليها.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [2] | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 6 كانون الثاني (يناير) 2017 |
ثغرة أمنية في Mediaserver تؤدي إلى حجب الخدمة
يمكن أن تسمح ثغرة رفض الخدمة عن بُعد في Mediaserver لصاخب باستخدام ملف مصمَّم خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها ذات خطورة عالية بسبب احتمالية حدوث انقطاع للاتصال عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | عالية | الكل | 6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 23 كانون الثاني (يناير) 2017 |
| CVE-2017-0600 | A-35269635 | عالية | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 10 شباط (فبراير) 2017 |
ثغرة أمنية في البلوتوث تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي إحدى الثغرات الأمنية في البلوتوث التي تؤدي إلى رفع مستوى الأذونات إلى السماح لتطبيق ضار محلي بقبول ملفات ضارة تتم مشاركتها عبر البلوتوث بدون إذن المستخدم. تم تصنيف هذه المشكلة على أنّها "متوسطة" بسبب تجاوز متطلبات تفاعل المستخدمين محليًا.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | متوسط | الكل | 7.0 و7.1.1 و7.1.2 | 9 شباط (فبراير) 2017 |
ثغرة أمنية في ميزة "التشفير على مستوى الملفات" تؤدي إلى إفشاء المعلومات
يمكن أن تؤدي إحدى الثغرات الأمنية التي تؤدي إلى الكشف عن المعلومات في ميزة "التشفير المستند إلى الملفات" إلى تمكين أحد المهاجمين المحليين من التحايل على وسائل الحماية التي يوفّرها نظام التشغيل لشاشة القفل. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة بسبب إمكانية تجاوز شاشة القفل.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [2] [3] | متوسط | الكل | 7.0 و7.1.1 | 9 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في البلوتوث تؤدي إلى الإفصاح عن المعلومات
يمكن أن تسمح إحدى نقاط الضعف في أمان الإفصاح عن المعلومات في البلوتوث لتطبيق محلي ضار بتجاوز إجراءات الحماية في نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنّها "متوسطة الخطورة" بسبب التفاصيل الخاصة بالثغرة الأمنية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 5 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية في الكشف عن المعلومات في OpenSSL وBoringSSL
يمكن أن تؤدي ثغرة أمنية في OpenSSL وBoringSSL إلى السماح لأحد المهاجمين عن بُعد بالوصول إلى معلومات حسّاسة. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة بسبب تفاصيل محدّدة متعلقة بالثغرة الأمنية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 19 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية تؤدي إلى حجب الخدمة في Mediaserver
يمكن أن تسمح ثغرة رفض الخدمة في Mediaserver للمهاجم باستخدام ملف تم إنشاؤه خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب ضبط إعدادات غير شائعة على الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | متوسط | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 23 شباط (فبراير) 2017 |
ثغرة أمنية تؤدي إلى حجب الخدمة في Mediaserver
يمكن أن تسمح ثغرة رفض الخدمة عن بُعد في Mediaserver لصاخب باستخدام ملف مصمَّم خصيصًا لإيقاف الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنّها منخفضة الخطورة بسبب تفاصيل محدّدة متعلقة بالثغرة الأمنية.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | ضعيفة | الكل | 7.0 و7.1.1 و7.1.2 | 16 شباط (فبراير) 2017 |
مستوى رمز تصحيح الأمان في 05/05/2017: تفاصيل حول الثغرة
في الأقسام أدناه، نقدّم تفاصيل عن كل من نقاط الضعف في الأمان التي تنطبق على مستوى التصحيح في 05-05-2017. يتضمّن السجلّ وصفًا للمشكلة وسببًا لمستوى خطورتها وجدولاً يتضمّن CVE والمراجع المرتبط بها ومستوى الخطورة وأجهزة Google التي تم تحديثها وإصدارات AOSP التي تم تحديثها (حيث ينطبق ذلك) وتاريخ الإبلاغ. سنربط التغيير العلني الذي تم إجراؤه لحلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك عدة تغييرات مرتبطة بخطأ واحد، يتم ربط الإشارات الإضافية بالأرقام التي تتبع معرّف الخطأ.
ثغرة أمنية في GIFLIB تتيح تنفيذ رمز عن بُعد
يمكن أن تؤدي ثغرة أمنية في GIFLIB تتيح تنفيذ رموز برمجية عن بُعد إلى تمكّن المهاجم من استخدامملف تم إنشاؤه خصيصًا لإتلاف الذاكرة أثناء معالجةملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنّها خطيرة بسبب إمكانية تنفيذ رمزبرمجي عن بُعد في سياق عملية Mediaserver.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | حرِج | الكل | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 و7.1.1 و7.1.2 | 13 نيسان (أبريل) 2016 |
ثغرة أمنية تتعلّق برفع مستوى الامتيازات في برنامج تشغيل شاشة MediaTek التي تعمل باللمس
ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل شاشة MediaTek التي تعمل باللمس يمكن أن تتيح لتطبيق ضار محلي تنفيذ رمز عشوائي ضمن سياق kernel تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 |
حرِج | لا شيء** | 16 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بالإصدار 7.1.1 من نظام التشغيل Android أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في "برنامج إقلاع Qualcomm" تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في أداة تحميل التشغيل من Qualcomm إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 |
حرِج | هواتف Nexus 5X وNexus 6 وPixel وPixel XL وAndroid One | 13 أيلول (سبتمبر) 2016 |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 |
حرِج | Nexus 5X وNexus 6P وPixel وPixel XL | 16 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في "النظام الفرعي للصوت في النواة" تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في نظام الصوت الفرعي للنواة إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 النواة الأساسية |
حرِج | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وPixel وPixel XL وPixel C وAndroid One وNexus Player | 3 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية في "برنامج إقلاع Motorola" تؤدي إلى تجاوز الأذونات
يمكن أن تؤدي ثغرة أمنية في أداة تحميل التشغيل من Motorola إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق أداة تحميل التشغيل. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لهجوم دائم محلي، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* |
حرِج | Nexus 6 | 21 كانون الأول (ديسمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تؤدي إلى تصعيد الأذونات في برنامج تشغيل الفيديو من NVIDIA
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من NVIDIA إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمالية تعرُّض الجهاز لهجوم مبرمَج محلي دائم، ما قد يتطلّب إعادة فلاش نظام التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 |
حرِج | Nexus 9 | 4 كانون الثاني (يناير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تؤدي إلى تصعيد الأذونات في Qualcomm power driver
يمكن أن تؤدي ثغرة أمنية في إذن الوصول إلى kernel Qualcomm power driver إلى تمكين تطبيق ضار على الجهاز من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "خطيرة" بسبب احتمال تعرُّض الجهاز لاختراق دائم على مستوى الجهاز، ما قد يتطلّب إعادة تحميل برمجية بدء التشغيل لإصلاح الجهاز.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 |
حرِج | لا شيء* | 15 شباط (فبراير) 2017 |
* لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرات أمنية في مكونات Qualcomm
تؤثر هذه الثغرات الأمنية في مكونات Qualcomm، وهي موضّحة بالتفصيل في رسائل الأمان الخاصة بمجموعة Qualcomm AMSS في آب (أغسطس) وسبتمبر (أيلول) وتشرين الأول (أكتوبر) وكانون الأول (ديسمبر) 2016.
| CVE | المراجع | مستوى الخطورة* | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 |
حرِج | Nexus 6P | فريق Qualcomm الداخلي |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 |
حرِج | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL | فريق Qualcomm الداخلي |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 |
عالية | Pixel وPixel XL | فريق Qualcomm الداخلي |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 |
عالية | Pixel وPixel XL | فريق Qualcomm الداخلي |
* حدّد المورّد تقييم الخطورة لهذه الثغرات.
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في libxml2 تتيح تنفيذ رموز برمجية عن بُعد
يمكن أن تسمح ثغرة أمنية في libxml2 لتنفيذ رموز برمجية عن بُعد للمهاجمين باستخدام ملف تم إنشاؤه خصيصًا لتنفيذ رمز عشوائي في سياق عملية بدون امتيازات. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمال تنفيذ رمز عن بُعد في تطبيق يستخدم هذه المكتبة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | إصدارات AOSP المعدَّلة | تاريخ الإبلاغ |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | عالية | لا شيء** | 4.4.4 و5.0.2 و5.1.1 و6.0 و6.0.1 و7.0 | 23 تموز (يوليو) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بالإصدار 7.1.1 من نظام التشغيل Android أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى تصعيد الأذونات في برنامج تشغيل نظام التبريد في MediaTek
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل MediaTek الحراري إلى منح أحد التطبيقات المحلية الضارة إذنًا تنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 |
عالية | لا شيء** | 11 نيسان (أبريل) 2016 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 |
عالية | لا شيء** | 11 نيسان (أبريل) 2016 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 |
عالية | لا شيء** | 27 كانون الأول (ديسمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بالإصدار 7.1.1 من نظام التشغيل Android أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية في "برنامج تشغيل Wi-Fi" من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا بالوصول إلى ميزات بمستوى امتياز أعلى، ما يتيح له تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 |
عالية | هواتف Nexus 5X وPixel وPixel XL وAndroid One | 11 تشرين الأول (أكتوبر) 2016 |
ثغرة أمنية في ملف تشغيل الفيديو من Qualcomm تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من Qualcomm إلى منح تطبيق ضار محلي الإذن بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 |
عالية | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 24 تشرين الأول (أكتوبر) 2016 |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 |
عالية | Pixel وPixel XL | 19 كانون الأول (ديسمبر) 2016 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 |
عالية | Pixel وPixel XL | 15 شباط (فبراير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة تتعلّق برفع مستوى الامتيازات في النظام الفرعي لأداء kernel
يمكن أن تؤدي ثغرة أمنية في رفع الأذونات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 النواة الأساسية |
عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وPixel وPixel XL وPixel C وAndroid One وNexus Player | 23 تشرين الثاني (نوفمبر) 2016 |
ثغرة أمنية في ملف التمكين في برنامج تشغيل الصوت من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 |
عالية | هواتف Nexus 5X وNexus 6P وPixel وPixel XL وAndroid One | 20 كانون الأول (ديسمبر) 2016 |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 |
عالية | هواتف Nexus 5X وNexus 6P وPixel وPixel XL وAndroid One | 3 كانون الثاني (يناير) 2017 |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 |
عالية | Pixel وPixel XL | 22 كانون الثاني (يناير) 2017 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 |
عالية | لا شيء* | 15 شباط (فبراير) 2017 |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 |
عالية | Pixel وPixel XL | 15 شباط (فبراير) 2017 |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 |
عالية | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 |
عالية | هواتف Nexus 5X وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 |
عالية | لا شيء* | 15 شباط (فبراير) 2017 |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 |
عالية | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 |
عالية | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 |
عالية | لا شيء* | 15 شباط (فبراير) 2017 |
* لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى تصعيد الأذونات في برنامج تشغيل مصابيح LED من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل مصابيح LED من Qualcomm إلى منح تطبيق ضار محلي إذن تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 |
عالية | Pixel وPixel XL | 23 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية في ملف التمكين في برنامج تشغيل التشفير من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل التشفير من Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 |
عالية | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 24 كانون الأوّل (ديسمبر) 2016 |
ثغرة أمنية تتعلّق برفع مستوى الأذونات في برنامج تشغيل الذاكرة المشتركة من Qualcomm
هناك ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل الذاكرة المشتركة من Qualcomm يمكن أن تتيح لتطبيق ضار على الجهاز تنفيذ رمز برمجي عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 |
عالية | Nexus 5X وNexus 6P وPixel وPixel XL | 24 كانون الأوّل (ديسمبر) 2016 |
ثغرة أمنية في ملف التمكين Qualcomm Slimbus driver
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل Qualcomm Slimbus إلى منح تطبيق ضار على الجهاز إذنًا بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 |
عالية | Nexus 5X وNexus 6 وNexus 6P وAndroid One | 31 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية في ملف التمكين Qualcomm ADSPRPC
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في برنامج تشغيل Qualcomm ADSPRPC إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 |
عالية | هواتف Nexus 5X وNexus 6P وPixel وPixel XL وAndroid One | 5 كانون الثاني (يناير) 2017 |
ثغرة أمنية تتعلّق برفع مستوى الأذونات في برنامج Qualcomm Secure Execution Environment Communicator driver
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في برنامج Qualcomm Secure Execution Environment Communicator إلى السماح لتطبيق ضار محلي بتنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها عالية لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 |
عالية | Pixel وPixel XL | 10 كانون الثاني (يناير) 2017 |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 |
عالية | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 |
عالية | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
ثغرة أمنية في ميزة "تصعيد الامتيازات" في برنامج تشغيل الطاقة من MediaTek
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الطاقة من MediaTek إلى منح أحد التطبيقات المحلية الضارّة إذنًا بتنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 |
عالية | لا شيء** | 12 كانون الثاني (يناير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بالإصدار 7.1.1 من نظام التشغيل Android أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
نقطة ضعف تؤدي إلى رفع الامتيازات في برنامج تشغيل المقاطعات لإدارة النظام من MediaTek
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل المقاطعات لإدارة النظام في MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها عالية الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 |
عالية | لا شيء** | 19 كانون الثاني (يناير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بالإصدار 7.1.1 من نظام التشغيل Android أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تؤدي إلى تصعيد الأذونات في برنامج تشغيل الفيديو من MediaTek
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من MediaTek إلى منح تطبيق ضار محلي إذنًا بتنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 |
عالية | لا شيء** | 19 كانون الثاني (يناير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بالإصدار 7.1.1 من نظام التشغيل Android أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
تصعيد الامتيازات الثغرة الأمنية في برنامج تشغيل "قائمة الأوامر" من MediaTek
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل "قائمة انتظار الأوامر" من MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 |
عالية | لا شيء** | 7 شباط (فبراير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بالإصدار 7.1.1 من نظام التشغيل Android أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تتعلّق برفع مستوى الامتيازات في برنامج تشغيل وحدة التحكّم في دبوس Qualcomm
يمكن أن تؤدي ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل وحدة التحكّم في دبوس Qualcomm إلى تمكين تطبيق ضار على الجهاز من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 |
عالية | Nexus 6 وAndroid One | 15 شباط (فبراير) 2017 |
ثغرة أمنية تتعلّق برفع الامتيازات في برنامج تشغيل Qualcomm Secure Channel Manager
يمكن أن تؤدي ثغرة أمنية في الحصول على امتيازات في برنامج تشغيل "مدير قناة الأمان" من Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي في سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها أولاً تتطلّب اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 |
عالية | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
ثغرة أمنية تتعلّق برفع امتيازات المستخدم في برنامج تشغيل ترميز الصوت من Qualcomm
هناك ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل ترميز الصوت من Qualcomm يمكن أن تتيح لتطبيق ضار على الجهاز تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 |
عالية | Pixel وPixel XL | 15 شباط (فبراير) 2017 |
تصعيد الامتيازات الثغرة الأمنية في برنامج تشغيل وحدة التحكّم في الجهد الكهربي للنواة
هناك ثغرة أمنية لرفع مستوى الأذونات في برنامج تشغيل وحدة التحكّم في الجهد الكهربي بالنواة، ويمكن أن تتيح هذه الثغرة لتطبيق ضار محلي تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 النواة الأساسية |
عالية | Nexus 6 وNexus 9 وPixel C وAndroid One وNexus Player | 15 شباط (فبراير) 2017 |
ثغرة أمنية في ملف التمكين في برنامج تشغيل كاميرا Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل كاميرا Qualcomm لرفع مستوى الأذونات إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق النواة. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 |
عالية | Android One | 15 شباط (فبراير) 2017 |
ثغرة أمنية تتعلّق بتجاوز الأذونات في برنامج تشغيل شبكة Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل شبكة Qualcomm إلى منح أحد التطبيقات المحلية الضارة إذنًا تنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 |
عالية | Nexus 5X وPixel وPixel XL | 15 شباط (فبراير) 2017 |
تصعيد الأذونات الثغرة الأمنية في النظام الفرعي لشبكة kernel
يمكن أن تؤدي ثغرة أمنية في تصعيد الأذونات في النظام الفرعي للاتصال بالشبكة في kernel إلى تمكين تطبيق ضار محلي من تنفيذ رمز عشوائي ضمن سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 النواة الأساسية [2] |
عالية | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وPixel وPixel XL وAndroid One | 23 آذار (مارس) 2017 |
ثغرة أمنية تتعلّق بتجاوز الأذونات في برنامج تشغيل شاشة Goodix التي تعمل باللمس
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل شاشة اللمس من Goodix إلى منح أحد التطبيقات المحلية الضارة إذنًا بالوصول إلى أذونات عالية المستوى، ما يتيح له تنفيذ رمز برمجي عشوائي في سياق kernel. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 |
عالية | Android One | Google فقط |
ثغرة أمنية في مشغّل HTC التحميل تؤدي إلى تصعيد الأذونات
يمكن أن تؤدي ثغرة أمنية في إذن الوصول في مشغّل تحميل HTC إلى السماح لتطبيق محلي ضار بتنفيذ رمز عشوائي في سياق مشغّل التحميل. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* |
عالية | Pixel وPixel XL | Google داخلي |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في برنامج تشغيل Wi-Fi من Qualcomm تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل Wi-Fi من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للوصول إلى data الحساسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 |
عالية | Nexus 5X وPixel وPixel XL | 16 كانون الثاني (يناير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
تسرّب المعلومات الثغرة الأمنية في برنامج تشغيل "قائمة الطلبات" في MediaTek
هناك ثغرة أمنية في برنامج تشغيل "قائمة انتظار الأوامر" في MediaTek يمكن أن تتيح لتطبيق ضار محلي الوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للقيام بما يلي: الوصول إلى البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 |
عالية | لا شيء** | 8 شباط (فبراير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بالإصدار 7.1.1 من نظام التشغيل Android أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
تعريض المعلومات الاختراق في برنامج تشغيل محرك التشفير من Qualcomm
هناك ثغرة أمنية في برنامج تشغيل محرك التشفير من Qualcomm يمكن أن تتيح لتطبيق ضار محلي الوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها "عالية" لأنّه يمكن استخدامها للقيام بما يلي: الوصول إلى البيانات الحسّاسة بدون إذن صريح من المستخدم.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 |
عالية | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
ثغرة أمنية تؤدي إلى حجب الخدمة في برنامج تشغيل Wi-Fi من Qualcomm
يمكن أن تؤدي ثغرة رفض الخدمة في برنامج تشغيل Wi-Fi من Qualcomm إلى تمكين أحد المهاجمين القريبين من رفض الخدمة في النظام الفرعي لشبكة Wi-Fi. تم تصنيف هذه المشكلة على أنّها "عالية" بسبب احتمالية حدوث رفض الخدمة عن بُعد.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 |
عالية | Nexus 5X وPixel وPixel XL | 16 كانون الأول (ديسمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية في kernel UVC driver لكشف المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل UVC في kernel إلى السماح لتطبيق محلي ضار بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* |
متوسط | Nexus 5X وNexus 6P وNexus 9 وPixel C وNexus Player | 2 كانون الأول (ديسمبر) 2016 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية تؤدي إلى الكشف عن المعلومات في برنامج تشغيل الفيديو من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الفيديو من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 |
متوسط | Nexus 5X وNexus 6P وAndroid One | 4 كانون الأول (ديسمبر) 2016 |
"التعرّف على المعلومات" التعرّض للاختراق في برنامج تشغيل الطاقة من Qualcomm (خاص بالجهاز)
يمكن أن تؤدي إحدى نقاط الضعف في Qualcomm power driver إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 |
متوسط | Nexus 5X وNexus 6P وPixel وPixel XL | 14 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل مصابيح LED من Qualcomm
يمكن أن تؤدي إحدى نقاط الضعف في Qualcomm LED driver إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 |
متوسط | Pixel وPixel XL | 20 كانون الأول (ديسمبر) 2016 |
تعريض المعلومات الاختراق في برنامج تشغيل الذاكرة المشتركة من Qualcomm
هناك ثغرة أمنية في برنامج تشغيل الذاكرة المشتركة من Qualcomm يمكن أن تتيح لتطبيق ضار على الجهاز الوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 |
متوسط | هواتف Nexus 5X وNexus 6P وPixel وPixel XL وAndroid One | 22 كانون الأول (ديسمبر) 2016 |
ثغرة أمنية لكشف المعلومات في برنامج تشغيل كاميرا Qualcomm
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل كاميرا Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 |
متوسط | Nexus 5X وNexus 6 وPixel وPixel XL | 10 كانون الثاني (يناير) 2017 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 |
متوسط | Nexus 5X وNexus 6 وPixel وPixel XL | 8 شباط (فبراير) 2017 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في النظام الفرعي لتتبُّع النواة
يمكن أن تؤدي إحدى نقاط الضعف في ميزة الإفصاح عن المعلومات في النظام الفرعي لتتبُّع النواة إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* |
متوسط | Nexus 5X وNexus 6 وNexus 6P وNexus 9 وPixel وPixel XL وPixel C وAndroid One وNexus Player | 11 كانون الثاني (يناير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرة أمنية لكشف المعلومات في برنامج تشغيل برامج ترميز الصوت من Qualcomm
هناك ثغرة أمنية في برنامج تشغيل ترميز الصوت من Qualcomm تؤدي إلى الكشف عن المعلومات، وقد تسمح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] |
متوسط | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
ثغرة أمنية لكشف المعلومات في برنامج تشغيل كاميرا Qualcomm
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل كاميرا Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 |
متوسط | هواتف Nexus 5X وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
ثغرة أمنية تؤدي إلى الإفصاح عن المعلومات في برنامج تشغيل الصوت من Qualcomm
يمكن أن تؤدي ثغرة أمنية في برنامج تشغيل الصوت من Qualcomm إلى السماح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 |
متوسط | Nexus 5X وNexus 6 وNexus 6P وPixel وPixel XL وAndroid One | 15 شباط (فبراير) 2017 |
ثغرة أمنية في إفصاح المعلومات في برنامج تشغيل Qualcomm SPCom
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل Qualcomm SPCom إلى السماح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات الأذونات. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 |
متوسط | لا شيء* | 15 شباط (فبراير) 2017 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 |
متوسط | لا شيء* | 15 شباط (فبراير) 2017 |
* لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بنظام التشغيل Android 7.1.1 أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
ثغرة أمنية تتعلّق بكشف المعلومات في برنامج تشغيل برامج ترميز الصوت من Qualcomm
هناك ثغرة أمنية في برنامج تشغيل ترميز الصوت من Qualcomm تؤدي إلى الكشف عن المعلومات، وقد تسمح لتطبيق ضار على الجهاز بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 |
متوسط | Android One | 15 شباط (فبراير) 2017 |
ثغرة أمنية في برنامج تشغيل Wi-Fi من Broadcom تؤدي إلى الكشف عن المعلومات
يمكن أن تؤدي إحدى نقاط الضعف في الإفصاح عن المعلومات في برنامج تشغيل Wi-Fi من Broadcom إلى السماح لمكوّن ضار محلي بالوصول إلى البيانات خارج مستويات إذن الوصول. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 |
متوسط | Nexus 6 وNexus 6P وNexus 9 وPixel C وNexus Player | 23 شباط (فبراير) 2017 |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
تسرّب المعلومات الثغرة الأمنية في برنامج تشغيل شاشة لمس Synaptics
هناك ثغرة أمنية في برنامج تشغيل شاشة اللمس Synaptics تؤدي إلى الكشف عن المعلومات، وقد تسمح لتطبيق ضار محلي بالوصول إلى البيانات خارج مستويات أذوناته. تم تصنيف هذه المشكلة على أنّها متوسطة الخطورة لأنّها تتطلّب أولاً اختراق عملية مميّزة.
| CVE | المراجع | درجة الخطورة | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* |
متوسط | Pixel وPixel XL | Google فقط |
* لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
ثغرات أمنية في مكونات Qualcomm
تم الكشف عن هذه الثغرات الأمنية التي تؤثر في مكونات Qualcomm كجزء من نشرات أمان Qualcomm AMSS بين عامَي 2014 و2016. وقد تم تضمينها في بلاغ أمان Android هذا لربط الإصلاحات بمستوى رمز تصحيح أمان Android.
| CVE | المراجع | مستوى الخطورة* | أجهزة Google التي تم تحديثها | تاريخ الإبلاغ |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9924 | A-35434631** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9925 | A-35444657** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9926 | A-35433784** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9927 | A-35433785** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9928 | A-35438623** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9929 | A-35443954** QC-CR#644783 |
حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9930 | A-35432946** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2015-9005 | A-36393500** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2015-9006 | A-36393450** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2015-9007 | A-36393700** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2016-10297 | A-36393451** | حرِج | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9941 | A-36385125** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9942 | A-36385319** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9943 | A-36385219** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9944 | A-36384534** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9945 | A-36386912** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9946 | A-36385281** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9947 | A-36392400** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9948 | A-36385126** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9949 | A-36390608** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9950 | A-36385321** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9951 | A-36389161** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
| CVE-2014-9952 | A-36387019** | عالية | لا شيء*** | فريق Qualcomm الداخلي |
* حدّد المورّد تقييم الخطورة لهذه الثغرات.
** لا يتوفّر تصحيح هذه المشكلة للجميع. يتضمّن التحديث أحدث برامج تشغيل ثنائية لأجهزة Nexus المتوفّرة من موقع Google Developer الإلكتروني.
*** لا تتأثر هذه الثغرة الأمنية بأجهزة Google المتوافقة التي تعمل بالإصدار 7.1.1 من نظام التشغيل Android أو الإصدارات الأحدث والتي تم تثبيت جميع التحديثات المتاحة عليها.
الأسئلة الشائعة والأجوبة عنها
يجيب هذا القسم عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذا الإشعار.
1. كيف يمكنني معرفة ما إذا كان جهازي محدَّثًا لحلّ هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى تصحيح الأمان على الجهاز، يُرجى الاطّلاع على التعليمات الواردة في جدول زمني لتحديثات هواتف Pixel وأجهزة Nexus.
- تعالج مستويات تصحيحات الأمان بتاريخ 01-05-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 01-05-2017.
- تعالج مستويات تصحيحات الأمان بتاريخ 05-05-2017 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05-05-2017 وجميع مستويات التصحيحات السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التعديلات ضبط مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2017-05-01]
- [ro.build.version.security_patch]:[2017-05-05]
2. لماذا تتضمّن هذه النشرة الإخبارية مستويَين لرمز تصحيح الأمان؟
تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان ليتمكّن شركاء Android من تعديل مجموعة فرعية من الثغرات الأمنية المشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بحلّ جميع المشاكل المذكورة في هذه النشرة واستخدام أحدث مستوى من تصحيحات الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى رمز تصحيح الأمان في 1 أيار (مايو) 2017 جميع المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 5 أيار (مايو) 2017 أو إصدارًا أحدث جميع التصحيحات السارية في نشرات الأمان هذه (والسابقة).
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. كيف يمكنني تحديد أجهزة Google المتأثّرة بكل مشكلة؟
في قسمَي تفاصيل ثغرات الأمان بتاريخ 01-05-2017 و 05-05-2017 ، يحتوي كل جدول على عمود أجهزة Google التي تم تعديلها الذي يشمل نطاق أجهزة Google المتأثرة التي تم تعديلها لكل مشكلة. يتضمّن هذا العمود بعض الخيارات:
- جميع أجهزة Google: إذا كانت هناك مشكلة تؤثر في كل من أجهزة Pixel و"جميع الأجهزة"، سيظهر "كل الأجهزة" في عمود أجهزة Google التي تم تحديثها. يشمل خيار "الكل" الأجهزة التالية المتوافقة: Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
- بعض أجهزة Google: إذا لم تؤثّر المشكلة في جميع أجهزة Google ، يتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google التي تم تعديلها.
- لا تتوفّر أجهزة Google: إذا لم تتأثّر أي أجهزة Google تعمل بنظام التشغيل Android 7.0 بهذه المشكلة، سيظهر "لا يتوفّر" في عمود أجهزة Google التي تم تحديثها.
4. ما هي العناصر التي ترتبط بها الإدخالات في عمود "المراجع"؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم ربط هذه البادئات على النحو التالي:
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
إصدارات
- 1 أيار (مايو) 2017: تم نشر النشرة.
- 2 أيار (مايو) 2017: تم تعديل النشرة لتضمين روابط AOSP.
- 10 آب (أغسطس) 2017: تم تعديل النشرة لتضمين رابط إضافي لـ AOSP بشأن CVE-2017-0493.
- 17 آب (أغسطس) 2017: تم تعديل النشرة لتحديث الأرقام المرجعية.
- 3 تشرين الأول (أكتوبر) 2017: تم تعديل النشرة لإزالة CVE-2017-0605.