بولتن امنیتی اندروید — جولای 2017

منتشر شده در 5 جولای 2017 | به روز شده در 26 سپتامبر 2017

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. سطوح وصله امنیتی 05 ژوئیه 2017 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه به‌روزرسانی Pixel و Nexus مراجعه کنید.

شرکا حداقل یک ماه پیش از مسائلی که در بولتن توضیح داده شده است مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی حیاتی در چارچوب رسانه است که می تواند یک مهاجم راه دور را با استفاده از یک فایل ساخته شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و تخفیف‌های سرویس برای اهداف توسعه خاموش شده‌اند یا در صورت دور زدن موفقیت‌آمیز انجام شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده های Android و Google Play Protect مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

توجه: اطلاعات مربوط به آخرین به‌روزرسانی خارج از هوا (OTA) و تصاویر میان‌افزار دستگاه‌های Google در بخش به‌روزرسانی‌های دستگاه Google موجود است.

اطلاعیه ها

  • این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌ها را که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/07/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/07/2017 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
    • 05/07/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2017-07-01 و 2017-07-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.

اقدامات کاهشی Android و Google Play Protect

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیش‌فرض در دستگاه‌های دارای سرویس‌های Google Mobile فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است.

سطح وصله امنیتی 01-07-2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۷-۰۷-۲۰۱۷ اعمال می‌شود، ارائه می‌کنیم. آسیب پذیری ها تحت مؤلفه ای که بر آن تأثیر می گذارند گروه بندی می شوند. شرحی از مشکل و جدولی با CVE، مراجع مرتبط، نوع آسیب‌پذیری ، شدت و نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

زمان اجرا

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک مهاجم از راه دور را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-3544 الف-35784677 RCE در حد متوسط 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

چارچوب

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک برنامه مخرب محلی را با استفاده از یک فایل خاص ساخته شده برای اجرای کد دلخواه در چارچوب برنامه‌ای که از کتابخانه استفاده می‌کند، فعال کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0664 الف-36491278 EoP بالا 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0665 الف-36991414 EoP بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0666 الف-37285689 EoP بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0667 الف-37478824 EoP بالا 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0668 الف-22011579 شناسه در حد متوسط 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0669 الف-34114752 شناسه بالا 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0670 الف-36104177 DoS بالا 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

کتابخانه ها

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک مهاجم راه دور را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب برنامه‌ای که از کتابخانه استفاده می‌کند، کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0671 A-34514762 * RCE بالا 4.4.4
CVE-2016-2109 الف-35443725 DoS بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0672 الف-34778578 DoS بالا 7.0، 7.1.1، 7.1.2

چارچوب رسانه ای

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک مهاجم از راه دور را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0540 الف-33966031 RCE بحرانی 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0673 الف-33974623 RCE بحرانی 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0674 الف-34231163 RCE بحرانی 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0675 A-34779227 [ 2 ] RCE بحرانی 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0676 الف-34896431 RCE بحرانی 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0677 A-36035074 RCE بحرانی 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0678 الف-36576151 RCE بحرانی 7.0، 7.1.1، 7.1.2
CVE-2017-0679 الف-36996978 RCE بحرانی 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0680 A-37008096 RCE بحرانی 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0681 الف-37208566 RCE بحرانی 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0682 A-36588422 * RCE بالا 7.0، 7.1.1، 7.1.2
CVE-2017-0683 A-36591008 * RCE بالا 7.0، 7.1.1، 7.1.2
CVE-2017-0684 الف-35421151 EoP بالا 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0685 الف-34203195 DoS بالا 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0686 الف-34231231 DoS بالا 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0688 الف-35584425 DoS بالا 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0689 A-36215950 DoS بالا 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0690 A-36592202 DoS بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0691 الف-36724453 DoS بالا 7.0، 7.1.1، 7.1.2
CVE-2017-0692 الف-36725407 DoS بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0693 الف-36993291 DoS بالا 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0694 A-37093318 DoS بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0695 الف-37094889 DoS بالا 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0696 A-37207120 DoS بالا 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0697 الف-37239013 DoS بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0698 الف-35467458 شناسه در حد متوسط 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0699 A-36490809 شناسه در حد متوسط 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2

رابط کاربری سیستم

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک مهاجم از راه دور را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2017-0700 الف-35639138 RCE بالا 7.1.1، 7.1.2
CVE-2017-0701 A-36385715 [ 2 ] RCE بالا 7.1.1، 7.1.2
CVE-2017-0702 الف-36621442 RCE بالا 7.1.1، 7.1.2
CVE-2017-0703 الف-33123882 EoP بالا 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2
CVE-2017-0704 A-33059280 EoP در حد متوسط 7.1.1، 7.1.2

سطح وصله امنیتی 05/07/2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۵-۰۷-۲۰۱۷ اعمال می‌شوند، ارائه می‌کنیم. آسیب‌پذیری‌ها تحت مؤلفه‌ای که بر آن تأثیر می‌گذارند گروه‌بندی می‌شوند و شامل جزئیاتی مانند CVE، مراجع مرتبط، نوع آسیب‌پذیری ، شدت ، مؤلفه (در صورت لزوم)، و نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) می‌شوند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

اجزای Broadcom

شدیدترین آسیب پذیری در این بخش می تواند یک مهاجم نزدیک را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-9417 A-38041027 *
B-RB#123023
RCE بحرانی درایور وای فای
CVE-2017-0705 A-34973477 *
B-RB#119898
EoP در حد متوسط درایور وای فای
CVE-2017-0706 A-35195787 *
B-RB#120532
EoP در حد متوسط درایور وای فای

اجزای HTC

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-0707 A-36088467 * EoP در حد متوسط درایور LED
CVE-2017-0708 A-35384879 * شناسه در حد متوسط درایور صدا
CVE-2017-0709 A-35468048 * شناسه کم درایور مرکز سنسور

اجزای هسته

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-6074 الف-35784697
هسته بالادست
EoP بالا زیر سیستم شبکه
CVE-2017-5970 A-35805460
هسته بالادست
DoS بالا زیر سیستم شبکه
CVE-2015-5707 الف-35841297
هسته بالادست [ 2 ]
EoP در حد متوسط درایور SCSI
CVE-2017-7308 الف-36725304
هسته بالادست [ 2 ] [ 3 ]
EoP در حد متوسط درایور شبکه
CVE-2014-9731 الف-35841292
هسته بالادست
شناسه در حد متوسط سیستم فایل

اجزای مدیاتک

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-0711 A-36099953 *
M-ALPS03206781
EoP بالا درایور شبکه

اجزای NVIDIA

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-0340 A-33968204 *
N-CVE-2017-0340
EoP بالا لیبنوپارسر
CVE-2017-0326 A-33718700 *
N-CVE-2017-0326
شناسه در حد متوسط درایور ویدیو

قطعات کوالکام

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند.

CVE منابع تایپ کنید شدت جزء
CVE-2017-8255 A-36251983
QC-CR#985205
EoP بالا بوت لودر
CVE-2016-10389 الف-34500449
QC-CR#1009145
EoP بالا بوت لودر
CVE-2017-8253 الف-35400552
QC-CR#1086764
EoP بالا راننده دوربین
CVE-2017-8262 الف-32938443
QC-CR#2029113
EoP بالا درایور پردازنده گرافیکی
CVE-2017-8263 A-34126808 *
QC-CR#1107034
EoP بالا زیرسیستم حافظه مشترک ناشناس
CVE-2017-8267 A-34173755 *
QC-CR#2001129
EoP بالا زیرسیستم حافظه مشترک ناشناس
CVE-2017-8273 الف-35400056
QC-CR#1094372 [ 2 ]
EoP بالا بوت لودر
CVE-2016-5863 الف-36251182
QC-CR#1102936
EoP در حد متوسط درایور USB HID
CVE-2017-8243 A-34112490 *
QC-CR#2001803
EoP در حد متوسط درایور SoC
CVE-2017-8246 الف-37275839
QC-CR#2008031
EoP در حد متوسط درایور صدا
CVE-2017-8256 الف-37286701
QC-CR#1104565
EoP در حد متوسط درایور وای فای
CVE-2017-8257 الف-37282763
QC-CR#2003129
EoP در حد متوسط درایور ویدیو
CVE-2017-8259 الف-34359487
QC-CR#2009016
EoP در حد متوسط درایور SoC
CVE-2017-8260 الف-34624155
QC-CR#2008469
EoP در حد متوسط راننده دوربین
CVE-2017-8261 A-35139833 *
QC-CR#2013631
EoP در حد متوسط راننده دوربین
CVE-2017-8264 A-33299365 *
QC-CR#1107702
EoP در حد متوسط راننده دوربین
CVE-2017-8265 الف-32341313
QC-CR#1109755
EoP در حد متوسط درایور ویدیو
CVE-2017-8266 الف-33863407
QC-CR#1110924
EoP در حد متوسط درایور ویدیو
CVE-2017-8268 A-34620535 *
QC-CR#2002207
EoP در حد متوسط راننده دوربین
CVE-2017-8270 A-35468665 *
QC-CR#2021363
EoP در حد متوسط درایور وای فای
CVE-2017-8271 A-35950388 *
QC-CR#2028681
EoP در حد متوسط درایور ویدیو
CVE-2017-8272 A-35950805 *
QC-CR#2028702
EoP در حد متوسط درایور ویدیو
CVE-2017-8254 A-36252027
QC-CR#832914
شناسه در حد متوسط درایور صدا
CVE-2017-8258 الف-37279737
QC-CR#2005647
شناسه در حد متوسط راننده دوربین
CVE-2017-8269 A-33967002 *
QC-CR#2013145
شناسه در حد متوسط درایور IPA

اجزای منبع بسته کوالکام

این آسیب‌پذیری‌ها بر اجزای Qualcomm تأثیر می‌گذارند و در بولتن‌های امنیتی Qualcomm AMSS در سال‌های 2014-2016 با جزئیات بیشتر توضیح داده شده‌اند. آنها در این بولتن امنیتی اندروید گنجانده شده اند تا رفع آنها را با سطح وصله امنیتی اندروید مرتبط کنند. رفع این آسیب‌پذیری‌ها مستقیماً از کوالکام در دسترس است.

CVE منابع تایپ کنید شدت جزء
CVE-2014-9411 A-37473054 * N/A بالا جزء منبع بسته
CVE-2014-9968 A-37304413 * N/A بالا جزء منبع بسته
CVE-2014-9973 A-37470982 * N/A بالا جزء منبع بسته
CVE-2014-9974 A-37471979 * N/A بالا جزء منبع بسته
CVE-2014-9975 A-37471230 * N/A بالا جزء منبع بسته
CVE-2014-9977 A-37471087 * N/A بالا جزء منبع بسته
CVE-2014-9978 A-37468982 * N/A بالا جزء منبع بسته
CVE-2014-9979 A-37471088 * N/A بالا جزء منبع بسته
CVE-2014-9980 A-37471029 * N/A بالا جزء منبع بسته
CVE-2015-0575 A-37296999 * N/A بالا جزء منبع بسته
CVE-2015-8592 A-37470090 * N/A بالا جزء منبع بسته
CVE-2015-8595 A-37472411 * N/A بالا جزء منبع بسته
CVE-2015-8596 A-37472806 * N/A بالا جزء منبع بسته
CVE-2015-9034 A-37305706 * N/A بالا جزء منبع بسته
CVE-2015-9035 A-37303626 * N/A بالا جزء منبع بسته
CVE-2015-9036 A-37303519 * N/A بالا جزء منبع بسته
CVE-2015-9037 A-37304366 * N/A بالا جزء منبع بسته
CVE-2015-9038 A-37303027 * N/A بالا جزء منبع بسته
CVE-2015-9039 A-37302628 * N/A بالا جزء منبع بسته
CVE-2015-9040 A-37303625 * N/A بالا جزء منبع بسته
CVE-2015-9041 A-37303518 * N/A بالا جزء منبع بسته
CVE-2015-9042 A-37301248 * N/A بالا جزء منبع بسته
CVE-2015-9043 A-37305954 * N/A بالا جزء منبع بسته
CVE-2015-9044 A-37303520 * N/A بالا جزء منبع بسته
CVE-2015-9045 A-37302136 * N/A بالا جزء منبع بسته
CVE-2015-9046 A-37301486 * N/A بالا جزء منبع بسته
CVE-2015-9047 A-37304367 * N/A بالا جزء منبع بسته
CVE-2015-9048 A-37305707 * N/A بالا جزء منبع بسته
CVE-2015-9049 A-37301488 * N/A بالا جزء منبع بسته
CVE-2015-9050 A-37302137 * N/A بالا جزء منبع بسته
CVE-2015-9051 A-37300737 * N/A بالا جزء منبع بسته
CVE-2015-9052 A-37304217 * N/A بالا جزء منبع بسته
CVE-2015-9053 A-37301249 * N/A بالا جزء منبع بسته
CVE-2015-9054 A-37303177 * N/A بالا جزء منبع بسته
CVE-2015-9055 A-37472412 * N/A بالا جزء منبع بسته
CVE-2015-9060 A-37472807 * N/A بالا جزء منبع بسته
CVE-2015-9061 A-37470436 * N/A بالا جزء منبع بسته
CVE-2015-9062 A-37472808 * N/A بالا جزء منبع بسته
CVE-2015-9067 A-37474000 * N/A بالا جزء منبع بسته
CVE-2015-9068 A-37470144 * N/A بالا جزء منبع بسته
CVE-2015-9069 A-37470777 * N/A بالا جزء منبع بسته
CVE-2015-9070 A-37474001 * N/A بالا جزء منبع بسته
CVE-2015-9071 A-37471819 * N/A بالا جزء منبع بسته
CVE-2015-9072 A-37474002 * N/A بالا جزء منبع بسته
CVE-2015-9073 A-37473407 * N/A بالا جزء منبع بسته
CVE-2016-10343 A-32580186 * N/A بالا جزء منبع بسته
CVE-2016-10344 A-32583954 * N/A بالا جزء منبع بسته
CVE-2016-10346 A-37473408 * N/A بالا جزء منبع بسته
CVE-2016-10347 A-37471089 * N/A بالا جزء منبع بسته
CVE-2016-10382 A-28823584 * N/A بالا جزء منبع بسته
CVE-2016-10383 A-28822389 * N/A بالا جزء منبع بسته
CVE-2016-10388 A-32580294 * N/A بالا جزء منبع بسته
CVE-2016-10391 A-32583804 * N/A بالا جزء منبع بسته
CVE-2016-5871 A-37473055 * N/A بالا جزء منبع بسته
CVE-2016-5872 A-37472809 * N/A بالا جزء منبع بسته

به روز رسانی دستگاه گوگل

این جدول حاوی سطح وصله امنیتی در آخرین به‌روزرسانی هوایی (OTA) و تصاویر میان‌افزار دستگاه‌های Google است. تصاویر سفت‌افزار دستگاه Google در سایت Google Developer موجود است.

دستگاه گوگل سطح وصله امنیتی
پیکسل / پیکسل XL 05 جولای 2017
Nexus 5X 05 جولای 2017
Nexus 6 05 جولای 2017
Nexus 6P 05 جولای 2017
Nexus 9 05 جولای 2017
Nexus Player 05 جولای 2017
پیکسل سی 05 جولای 2017

به‌روزرسانی‌های دستگاه Google همچنین حاوی وصله‌هایی برای این آسیب‌پذیری‌های امنیتی هستند، در صورت وجود:

CVE منابع تایپ کنید شدت جزء
CVE-2017-0710 A-34951864 * EoP در حد متوسط TCB

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

CVE ها محققین
CVE-2017-8263 بیلی لاو از گوگل
CVE-2017-0711 چنگ مینگ یانگ، بائونگ دینگ و یانگ سانگ از گروه امنیتی موبایل علی بابا
CVE-2017-0681 چی ژانگ ، هانسیانگ ون ، مینگجیان ژو ( @Mingjian_Zhou )، و ژوکیان جیانگ از تیم C0RE
CVE-2017-0706 Daxing Guo ( @freener0 ) از آزمایشگاه Xuanwu، Tencent
CVE-2017-8260 درک ( @derrekr6 ) و اسکات بائر
CVE-2017-8265 دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent
CVE-2017-0703 زمیتری لوکیاننکا
CVE-2017-0692، CVE-2017-0694 Elphet و Gong Guang از تیم آلفا، Qihoo 360 Technology Co. Ltd.
CVE-2017-8266، CVE-2017-8243، CVE-2017-8270 Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd.
CVE-2017-0665 چی ژانگ ، هانسیانگ ون ، مینگجیان ژو ( @Mingjian_Zhou )، و ژوکیان جیانگ از تیم C0RE
CVE-2017-8268، CVE-2017-8261 Jianqiang Zhao ( @jianqiangzhao ) و pjf آزمایشگاه IceSword، Qihoo 360
CVE-2017-0698 جوی برند از شرکت مشاوره سرشماری
CVE-2017-0666، CVE-2017-0684 مینگجیان ژو ( @Mingjian_Zhouچی ژانگ ، و ژوکیان جیانگ از تیم C0RE
CVE-2017-0697، CVE-2017-0670 Niky1235 ( @jiych_guru )
CVE-2017-9417 نیتای آرتنشتاین از Exodus Intelligence
CVE-2017-0705، CVE-2017-8259 اسکات بائر
CVE-2017-0667 تیموتی بکر از CSS Inc.
CVE-2017-0682، CVE-2017-0683، CVE-2017-0676، CVE-2017-0696، CVE-2017-0675، CVE-2017-0701، CVE-2017-0702، CVE-2017 واسیلی واسیلیف
CVE-2017-0695، CVE-2017-0689، CVE-2017-0540، CVE-2017-0680، CVE-2017-0679، CVE-2017-0685، CVE-2017-0686، CVE-0686، CVE-201، 2017-0674, CVE-2017-0677 VEO ( @VYSEa ) تیم پاسخگویی تهدیدات موبایل ، Trend Micro
CVE-2017-0708 Xiling Gong از بخش پلت فرم امنیتی Tencent
CVE-2017-0690 Yangkang ( @dnpushme ) و Liyadong از تیم Qihoo 360 Qex
CVE-2017-8269، CVE-2017-8271، CVE-2017-8272، CVE-2017-8267 Yonggang Guo ( @guoygang ) از IceSword Lab، Qihoo 360 Technology Co. Ltd.
CVE-2017-8264، CVE-2017-0326، CVE-2017-0709 یوان تسونگ لو ( computernik@gmail.com ) و ژوکیان جیانگ از تیم C0RE
CVE-2017-0704، CVE-2017-0669 Yuxiang Li ( @Xbalien29 ) از بخش پلتفرم امنیتی Tencent
CVE-2017-0710 زک ریگل ( @ebeip90 ) از تیم امنیتی اندروید
CVE-2017-0678 Zinuo Han از مرکز پاسخگویی امنیتی چنگدو، Qihoo 360 Technology Co. Ltd.
CVE-2017-0691، CVE-2017-0700 Zinuo Han از مرکز پاسخگویی امنیتی چنگدو، Qihoo 360 Technology Co. Ltd. و Ao Wang ( ArayzSegment @ ) از تیم پانگو

پرسش و پاسخ متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی Pixel و Nexus را بخوانید.

  • سطوح وصله امنیتی 2017-07-01 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 2017-07-01 را برطرف می کند.
  • سطوح وصله امنیتی 05/07/2017 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 05/07/2017 و تمام سطوح وصله قبلی را برطرف می کند.

سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:

  • [ro.build.version.security_patch]:[01/07/2017]
  • [ro.build.version.security_patch]: [05/07/2017]

2. چرا این بولتن دارای دو سطح وصله امنیتی است؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.

  • دستگاه‌هایی که از سطح وصله امنیتی 01 ژوئیه 2017 استفاده می‌کنند باید همه مشکلات مربوط به آن سطح وصله امنیتی و همچنین رفع مشکلاتی را که در بولتن‌های امنیتی قبلی گزارش شده‌اند را شامل شوند.
  • دستگاه‌هایی که از سطح وصله امنیتی 05 ژوئیه 2017 یا جدیدتر استفاده می‌کنند باید همه وصله‌های قابل‌اجرا در این بولتن‌های امنیتی (و قبلی) را شامل شوند.

شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.

3. ورودی های ستون Type به چه معناست؟

ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی در دسترس نیست

4. ورودی های ستون References به چه معناست؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

5. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟

مسائلی که به صورت عمومی در دسترس نیستند دارای یک * در کنار شناسه اشکال Android در ستون References هستند. به‌روزرسانی این مشکل معمولاً در آخرین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

نسخه ها

نسخه تاریخ یادداشت
1.0 5 جولای 2017 بولتن منتشر شد.
1.1 6 جولای 2017 بولتن اصلاح شد تا شامل پیوندهای AOSP باشد.
1.2 11 جولای 2017 بولتن برای به‌روزرسانی تأییدیه‌ها اصلاح شد.
1.3 17 آگوست 2017 بولتن برای به‌روزرسانی شماره‌های مرجع اصلاح شد.
1.4 19 سپتامبر 2017 قدردانی های به روز شده برای CVE-2017-0710.
1.5 26 سپتامبر 2017 قدردانی های به روز شده برای CVE-2017-0681.