نشرة أمان Android —تشرين الأول (أكتوبر) 2023

تاريخ النشر: 2 تشرين الأول (أكتوبر) 2023 | تاريخ التعديل: 26 يوليو 2024

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية تؤثر في أجهزة Android. مستويات رمز تصحيح الأمان 2023-10-06 أو تاريخ لاحق على حلّ جميع هذه المشاكل. لمعرفة كيفية التحقق من مستوى رمز تصحيح أمان الجهاز، يمكنك الاطّلاع على التحقّق من إصدار Android وتحديثه

يتم إشعار شركاء Android بجميع المشاكل قبل شهر على الأقل من جهة النشر. تم إصدار رموز تصحيح الرموز المصدر لهذه المشاكل في برنامج Android المفتوح مستودع مشروع المصدر (AOSP) ورابطه من هذه النشرة. هذه النشرة كما تتضمن أيضًا روابط إلى رموز تصحيح خارج بروتوكول AOSP.

ويستند تقييم الخطورة إلى تأثير أن يكون استغلال الثغرة الأمنية على أحد الأجهزة المصابة، بافتراض إيقاف إجراءات تخفيف أثر النظام الأساسي والخدمات بغرض التطوير أو إذا تم تجاوزها بنجاح.

يُرجى الرجوع إلى Android وGoogle Play للحماية إجراءات التخفيف للحصول على تفاصيل حول نظام الأمان الأساسي Android الحماية و"Google Play للحماية" التي تحسِّن من أمان نظام Android الأساسي.

خدمة Android وGoogle إجراءات التخفيف

في ما يلي ملخّص لإجراءات التخفيف التي يتضمنها نظام الأمان الأساسي Android ووسائل حماية الخدمة مثل Google Play الحماية: تقلل هذه الإمكانات من احتمالية الثغرات الأمنية بنجاح في Android.

  • تزداد صعوبة الاستفادة من العديد من المشاكل على Android التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نشجع جميع مستخدمَان للتحديث إلى آخر إصدار من Android متى أمكن ذلك.
  • يراقب فريق أمان Android بشكل نشط حالات إساءة الاستخدام من خلال Google Play حماية المستخدمين وتحذيرهم بشأن احتمال التطبيقات الضارة: يتم تفعيل خدمة "Google Play للحماية" تلقائيًا على جهازان من خلال Google الهاتف المحمول الخدمات، وهي مهمة بشكل خاص للمستخدمين الذين يثبّتون التطبيقات من خارج Google Play.

10/10/2023 تفاصيل الثغرات الأمنية على مستوى رمز تصحيح الأمان

في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى رمز التصحيح 2023-10-01. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وهي تشمل رقم تعريف CVE (معرّف CVE) المرتبطة به. المراجع ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نربط التغيير العلني الذي تناول المشكلة معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم إنشاء مراجع إضافية المرتبطة بالأرقام التي تلي معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات أمان بالإضافة إلى ذلك. تقويم تحديثات نظام Play

إطار العمل

وقد تؤدي أشد ثغرة في هذا القسم إلى تصعيد امتيازًا بدون الحاجة إلى أي امتيازات تنفيذ إضافية.

CVE المراجع النوع درجة الخطورة إصدارات معدَّلة من AOSP
CVE-2023-40116 A-270368476 [2] EoP عالٍ 11، 12، 12 لتر
CVE-2023-40120 A-274775190 EoP عالٍ 11، 12، 12L، 13
CVE-2023-40131 A-282919145 EoP عالٍ 12، 12L، 13
CVE-2023-40140 A-274058082 EoP عالٍ 11، 12، 12L، 13
CVE-2023-21291 A-277593270 رقم التعريف عالٍ 11، 12، 12L، 13
CVE-2023-40121 A-224771621 رقم التعريف عالٍ 11، 12، 12L، 13
CVE-2023-40134 A-283101289 رقم التعريف عالٍ 12، 12L، 13
CVE-2023-40136 A-281666022 رقم التعريف عالٍ 11، 12، 12L، 13
CVE-2023-40137 A-281665050 رقم التعريف عالٍ 11، 12، 12L، 13
CVE-2023-40138 A-281534749 رقم التعريف عالٍ 11، 12، 12L، 13
CVE-2023-40139 A-281533566 رقم التعريف عالٍ 11، 12، 12L، 13

النظام

يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تنفيذ الرموز البرمجية (قريبة/قريبة) بدون امتيازات تنفيذ إضافية احتاجت.

CVE المراجع النوع درجة الخطورة إصدارات معدَّلة من AOSP
CVE-2023-40129 A-273874525 RCE حرج 12، 12L، 13
CVE-2023-21244 A-276729064 [2] [3] EoP عالٍ 11، 12، 12L، 13
CVE-2023-40117 A-253043065 [2] EoP عالٍ 11، 12، 12L، 13
CVE-2023-40125 A-279902472 EoP عالٍ 11، 12، 12L، 13
CVE-2023-40128 A-274231102 EoP عالٍ 11، 12، 12L، 13
CVE-2023-40130 A-289809991 EoP عالٍ 11، 12، 12L، 13
CVE-2023-40123 A-278246904 رقم التعريف عالٍ 11، 12، 12L، 13
CVE-2023-40127 A-262244882 رقم التعريف عالٍ 11، 12، 12L، 13
CVE-2023-40133 A-283264674 رقم التعريف عالٍ 11، 12، 12L، 13
CVE-2023-40135 A-281848557 رقم التعريف عالٍ 11، 12، 12L، 13
CVE-2023-21252 A-275339978 [2] الحرمان من الخدمات عالٍ 11، 12، 12L، 13
CVE-2023-21253 A-266580022 [2] [3] الحرمان من الخدمات عالٍ 11، 12، 12L، 13

تحديثات نظام Google Play

يتم تضمين المشكلات التالية في مكونات المشروع Mainline.

المكوّن الفرعي CVE
MediaProvider CVE-2023-40127
Wi-Fi CVE-2023-21252

05/10/2023 تفاصيل الثغرات الأمنية على مستوى رمز تصحيح الأمان

في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى التصحيح 2023-10-05. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وهي تشمل رقم تعريف CVE (معرّف CVE) المرتبطة به. المراجع ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نربط التغيير العلني الذي تناول المشكلة معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم إنشاء مراجع إضافية المرتبطة بالأرقام التي تلي معرّف الخطأ.

مكونات الذراع

تؤثر الثغرات الأمنية هذه في مكونات "الذراع" وتتاح لك مزيد من التفاصيل مباشرةً من Arm. يتم توفير تقييم لدرجة خطورة هذه المشاكل مباشرةً من خلال Arm.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2021-44828 A-296461583 * عالٍ مالي
CVE-2022-28348 A-296463357 * عالٍ مالي
CVE-2023-4211 A-294605494 * عالٍ مالي
CVE-2023-33200 A-287627703 * عالٍ مالي
CVE-2023-34970 A-287624919 * عالٍ مالي

مكوِّنات MediaTek

تؤثر الثغرات الأمنية هذه في مكونات MediaTek، ويتم التعامل مع المزيد من التفاصيل متوفرة مباشرةً من MediaTek تقدّم MediaTek تقييم لمدى خطورة هذه المشاكل.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2023-20819 A-294779648
M-MOLY01068234 *
عالٍ بروتوكول CDMA PPP
CVE-2023-32819 A-294779649
M-ALPS07993705 *
عالٍ عرض
CVE-2023-32820 A-294781433
M-ALPS07932637 *
عالٍ برامج wlan الثابتة

مكونات Unisoc

تؤثر هذه الثغرة الأمنية على مكونات Unisoc، ومنها مزيد من التفاصيل متوفرة مباشرة من Unisoc. توفّر Unisoc تقييم خطورة هذه المشكلة مباشرةً.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2023-40638 A-296491611
U-2212107*
عالٍ Android

مكونات Qualcomm

تؤثر الثغرات الأمنية هذه في مكونات Qualcomm ويتم توضيحها في التفاصيل في نشرة الأمان أو تنبيه الأمان المناسب في Qualcomm. توفّر شركة Qualcomm تقييم درجة خطورة هذه المشاكل مباشرةً.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2023-33029 A-290061916
QC-CR#3446314
عالٍ Kernel
CVE-2023-33034 A-290060972
QC-CR#3438425
عالٍ الصوت
CVE-2023-33035 A-290061247
QC-CR#3438021
عالٍ الصوت

مكونات Qualcomm مغلقة المصدر

تؤثر الثغرات الأمنية هذه في مكونات المصدر المغلق لشركة Qualcomm بمزيد من التفصيل في نشرة الأمان المناسبة من Qualcomm أو تنبيه أمان توفّر شركة Qualcomm تقييم درجة خطورة هذه المشاكل مباشرةً.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2023-24855 A-276750662 * حرج مكوِّن مغلق المصدر
CVE-2023-28540 A-276751073 * حرج مكوِّن مغلق المصدر
CVE-2023-33028 A-290060590 * حرج مكوِّن مغلق المصدر
CVE-2023-21673 A-276750698 * عالٍ مكوِّن مغلق المصدر
CVE-2023-22385 A-276750699 * عالٍ مكوِّن مغلق المصدر
CVE-2023-24843 A-276750762 * عالٍ مكوِّن مغلق المصدر
CVE-2023-24844 A-276750872 * عالٍ مكوِّن مغلق المصدر
CVE-2023-24847 A-276751090 * عالٍ مكوِّن مغلق المصدر
CVE-2023-24848 A-276750995* عالٍ مكوِّن مغلق المصدر
CVE-2023-24849 A-276751370* عالٍ مكوِّن مغلق المصدر
CVE-2023-24850 A-276751108 * عالٍ مكوِّن مغلق المصدر
CVE-2023-24853 A-276751372 * عالٍ مكوِّن مغلق المصدر
CVE-2023-33026 A-290061996 * عالٍ مكوِّن مغلق المصدر
CVE-2023-33027 A-290061249 * عالٍ مكوِّن مغلق المصدر

6/10/2023 تفاصيل الثغرات الأمنية على مستوى رمز تصحيح الأمان

في الأقسام أدناه، نعرض تفاصيل عن كل أمان التي تنطبق على مستوى التصحيح 2023-10-06. ويتم تجميع الثغرات الأمنية ضمن المكون الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وهي تشمل رقم تعريف CVE (معرّف CVE) المرتبطة به. المراجع ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيثما ينطبق ذلك). عندما يكون ذلك متاحًا، نربط التغيير العلني الذي تناول المشكلة معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما ترتبط تغييرات متعددة بخطأ واحد، يتم إنشاء مراجع إضافية المرتبطة بالأرقام التي تلي معرّف الخطأ.

النظام

يمكن أن تؤدي الثغرة الأمنية الواردة في هذا القسم إلى الاستغلال بدون تفاعل المستخدم.

CVE المراجع النوع درجة الخطورة إصدارات معدَّلة من AOSP
CVE-2023-4863 A-299477569 RCE حرج 11، 12، 12L، 13

الأسئلة والأجوبة الشائعة

يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذا القسم. نشرة.

1. كيف يمكنني معرفة ما إذا كان جهازي محدَّثًا أم لا لمعالجة هذه المشاكل من المشاكل؟

لمعرفة كيفية التحقق من مستوى رمز تصحيح أمان الجهاز، يمكنك الاطّلاع على التحقّق من إصدار Android وتحديثه

  • عنوان رموز تصحيح الأمان بتاريخ 10/10/2023 أو تاريخ لاحق جميع المشاكل المرتبطة بحزمة الأمان 2023-10-01 المستوى.
  • مستويات رموز تصحيح الأمان لشهر 2023-10-05 أو تاريخ لاحق جميع المشاكل المرتبطة بحزمة الأمان 2023-10-05 وكل مستويات التصحيح السابقة.
  • مستويات رموز تصحيح الأمان لشهر 2023-10-06 أو تاريخ لاحق جميع المشاكل المرتبطة بحزمة الأمان 2023-10-06 وكل مستويات التصحيح السابقة.

على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط سلسلة رمز التصحيح المستوى إلى:

  • [ro.build.version.security_patch]:[2023-10-01]
  • [ro.build.version.security_patch]:[2023-10-05]
  • [ro.build.version.security_patch]:[2023-10-06]

تحديث نظام Google Play على بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث على سلسلة تاريخ تتطابق مع 01-10-2023 مستوى رمز تصحيح الأمان. يُرجى الاطّلاع على هذه المقالة للحصول على مزيد من التفاصيل حول كيفية عملية تثبيت تحديثات الأمان.

2. لماذا تحتوي هذه النشرة على ثلاثة مستويات من رموز تصحيح الأمان؟

تشتمل هذه النشرة على ثلاثة مستويات من رموز تصحيح الأمان بحيث تتوفر لدى شركاء Android المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر ننصح شركاء Android بحلّ جميع المشكلات في هذه النشرة واستخدام أحدث مستوى من تصحيح الأمان.

  • الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2023-10-01 أن تتضمّن جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا كـ إصلاحات لجميع المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2023-10-05 أو الأحدث أن تتضمّن جميع رموز التصحيح القابلة للتطبيق في مستوى الأمان هذا (والسابق) ونشرات.
  • الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2023-10-06 أو الأحدث أن تتضمّن جميع رموز التصحيح القابلة للتطبيق في مستوى الأمان هذا (والسابق) ونشرات.

نشجّع الشركاء على جمع الحلول لكل المشاكل التي يواجهونها. معالجتها في تحديث واحد.

3. ما معنى الإدخالات في عمود النوع؟

الإدخالات في العمود النوع ضمن جدول تفاصيل الثغرة الأمنية تشير إلى تصنيف الثغرة الأمنية.

الاختصار التعريف
RCE تنفيذ الرمز عن بعد
EoP رفع الامتياز
رقم التعريف الإفصاح عن المعلومات
الحرمان من الخدمات الحرمان من الخدمة
لا ينطبق التصنيف غير متاح

‫4. ما معنى الإدخالات في عمود المراجع؟

الإدخالات ضمن عمود المراجع في تفاصيل الثغرة الأمنية جدول على بادئة تحدد المؤسسة التي مرجع تنتمي القيمة.

بادئة مَراجع
A-‎ معرّف الخطأ في Android
QC- الرقم المرجعي لشركة Qualcomm
M- الرقم المرجعي لشركة MediaTek
N- الرقم المرجعي لـ NVIDIA
B-‎ الرقم المرجعي لشركة Broadcom
U- الرقم المرجعي لـ UNISOC

‫5. ما تأثير علامة * بجوار معرّف خطأ Android في المراجع متوسط العمود؟

تظهر علامة * بجانب المشاكل غير المتاحة للجميع معرف المرجع. عادةً ما يتضمّن التحديث المتعلّق بهذه المشكلة أحدث برامج التشغيل الثنائية لأجهزة Pixel المتوفرة من تقويم الموقع الإلكتروني للمطوّرين.

‫6. لماذا تنقسم الثغرات الأمنية بين هذه النشرة نشرات أمان الجهاز أو الشريك، مثل هل هي نشرة Pixel؟

الثغرات الأمنية الموثقة في هذه النشرة الأمنية مطلوب للإعلان عن أحدث مستوى لرمز تصحيح الأمان على Android الأجهزة. هناك ثغرات أمنية إضافية تم توثيقها في نشرات أمان الجهاز أو الشريك غير مطلوبة إعلان مستوى رمز تصحيح الأمان. الشركات المصنّعة لأجهزة Android وشرائح الجمهور نشر تفاصيل الثغرات الأمنية الخاصة بمنتجاتها أو مثل Google و Huawei، LGE، Motorola، Nokia، أو Samsung.

الإصدارات

الإصدار التاريخ ملاحظات
1 2 تشرين الأول (أكتوبر) 2023 تم نشر النشرة