يحتوي نشرة أمان Android على تفاصيل عن ثغرات الأمان التي تؤثر في أجهزة Android. تعالج جميع مستويات تصحيحات الأمان بتاريخ 05/08/2024 أو الإصدارات الأحدث كل هذه المشاكل. للتعرّف على كيفية معرفة مستوى تصحيح الأمان على الجهاز، اطّلِع على مقالة التحقّق من إصدار Android على جهازك وتحديثه.
يتم إرسال إشعارات إلى شركاء Android بجميع المشاكل قبل شهر واحد على الأقل من تاريخ النشر. سيتم إصدار تصحيحات الرموز المصدر لهذه المشاكل في غضون 48 ساعة القادمة في مستودع "مشروع Android المفتوح المصدر" (AOSP). سنعدّل هذه النشرة الإخبارية لإضافة روابط AOSP عند توفّرها.
وأخطر هذه المشاكل هي ثغرة أمنية خطيرة في ملف Framework قد تؤدي إلى تصعيد امتيازات على الجهاز بدون الحاجة إلى امتيازات تنفيذ إضافية. يستند تقييم الخطورة إلى التأثير الذي قد ينتج عن استغلال الثغرة الأمنية في أحد الأجهزة المتأثرة، بافتراض أنّه تم إيقاف تدابير التخفيف من مخاطر المنصة والخدمة لأغراض التطوير أو في حال تم التحايل عليها بنجاح.
يُرجى الرجوع إلى قسم إجراءات التخفيف في Android وGoogle Play للحماية لمعرفة تفاصيل عن عمليات الحماية على الأنظمة الأساسية للأمان في Android و"Google Play للحماية" اللتين تساعدان على تحسين أمان نظام Android الأساسي.
إجراءات التخفيف في Android و خدمات Google
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها منصّة أمان Android وخدمات الحماية، مثل Google Play للحماية. وتقلل هذه الإمكانات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.
- أصبح من الصعب استغلال العديد من المشاكل على Android بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. ونحن نشجع جميع المستخدمين على تثبيت أحدث إصدار من Android متى أمكن ذلك.
- يرصد فريق أمان Android إساءة الاستخدام بشكل نشط من خلال Google Play للحماية ويحذّر المستخدمين بشأن التطبيقات التي يُحتمل أن تكون ضارة. تكون خدمات "Google Play للحماية" مفعّلة تلقائيًا على الأجهزة التي تعمل باستخدام خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبّتون التطبيقات من خارج "Google Play".
تفاصيل الثغرة الأمنية في مستوى رمز تصحيح الأمان بتاريخ 01/08/2024
في الأقسام أدناه، نقدّم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح بتاريخ 01-08-2024. يتم تجميع نقاط الضعف ضمن المكوّن الذي تؤثر فيه. يمكن الاطّلاع على المشاكل في الجداول أدناه وهي تشمل معرّف CVE والمراجع ذات الصلة ونوع الثغرة الأمنية وخطورة وإصدارات AOSP المعدّلة (حيثما ينطبق ذلك). ونربط التغيير العلني الذي حلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام Android 10 والإصدارات الأحدث تحديثات أمان بالإضافة إلى تحديثات نظام Google Play.
إطار العمل
يمكن أن تؤدي أشد الثغرات خطورة في هذا القسم إلى تصعيد الامتيازات على مستوى الجهاز بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2023-21351 | A-232798676 | EoP | عالٍ | 12، 12L، 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34734 | A-304772709 | EoP | عالٍ | 13، 14 |
| CVE-2024-34735 | A-336490997 | EoP | عالٍ | 12، 12L، 13 |
| CVE-2024-34737 | A-283103220 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34738 | A-336323279 | EoP | عالٍ | 13، 14 |
| CVE-2024-34740 | A-307288067 [2] | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34741 | A-318683640 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34743 | A-336648613 | EoP | عالٍ | 14 |
| CVE-2024-34736 | A-288549440 | رقم التعريف | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34742 | A-335232744 | DoS | عالٍ | 14 |
النظام
يمكن أن تؤدي الثغرة الأمنية في هذا القسم إلى الإفصاح عن المعلومات عن بُعد بدون الحاجة إلى مزيد من امتيازات التنفيذ.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | رقم التعريف | عالٍ | 12، 12L، 13، 14 |
تحديثات نظام Google Play
لم يتم معالجة أي مشاكل أمنية في تحديثات نظام Google Play (Project Mainline) هذا الشهر.
تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2024-08-05
في الأقسام أدناه، نقدّم تفاصيل عن كل من الثغرات الأمنية التي تنطبق على مستوى التصحيح في 5 آب (أغسطس) 2024. يتم تجميع نقاط الضعف ضمن المكوّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل رقم تعريف CVE والمراجع المرتبطة ونوع الثغرة الأمنية وخطورتها وإصدارات AOSP المعدَّلة (حيث ينطبق ذلك). نربط التغيير العلني الذي حلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
Kernel
يمكن أن تؤدي الثغرة الأمنية في هذا القسم إلى تنفيذ رمز عن بُعد باستخدام امتيازات تنفيذ System اللازمة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 النواة الأساسية [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | عالٍ | Kernel |
مكونات الذراع
تؤثر نقاط الضعف هذه في مكونات Arm، ويتوفر المزيد من التفاصيل من Arm مباشرةً. تقدّم Arm مباشرةً تقييمًا لشدّة هذه المشاكل.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | عالٍ | مالي |
| CVE-2024-4607 |
A-339869945 * | عالٍ | مالي |
Imagination Technologies
تؤثر هذه الثغرة الأمنية على مكونات Imagination Technologies ومزيد من التفاصيل متاحة مباشرة من Imagination Technologies. يتم توفير تقييم خطورة هذه المشكلة مباشرة من قبل Imagination Technologies.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | عالٍ | وحدة معالجة رسومات PowerVR |
مكونات MediaTek
تؤثر هذه الثغرة الأمنية في مكونات MediaTek، ويمكنك الحصول على مزيد من التفاصيل من MediaTek مباشرةً. يتم تقديم تقييم شدة هذه المشكلة مباشرةً من قِبل MediaTek.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
عالٍ | المودم |
مكونات Qualcomm
تؤثر هذه الثغرات الأمنية في مكونات Qualcomm ويتم وصفها بالتفصيل في نشرة الأمان أو تنبيه الأمان المناسبَين من Qualcomm. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل شركة Qualcomm.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
عالٍ | الشاشة |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
عالٍ | الشاشة |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
عالٍ | الشاشة |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
عالٍ | الشاشة |
| CVE-2024-23384 |
A-339043323
QC-CR#3704870 [2] [3] [4] |
عالٍ | الشاشة |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
عالٍ | شبكة WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
عالٍ | شبكة WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
عالٍ | شبكة WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
عالٍ | شبكة WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
عالٍ | شبكة WLAN |
| CVE-2024-33015 |
A-339043107
QC-CR#3710080 |
عالٍ | شبكة WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
عالٍ | شبكة WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
عالٍ | شبكة WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
عالٍ | شبكة WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
عالٍ | الشاشة |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
عالٍ | شبكة WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
عالٍ | شبكة WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
عالٍ | شبكة WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
عالٍ | الشاشة |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
عالٍ | الشاشة |
مكونات Qualcomm مغلقة المصدر
تؤثر هذه الثغرات الأمنية في مكوّنات Qualcomm المغلقة المصدر، ويمكنك الاطّلاع على مزيد من التفاصيل في نشرة الأمان أو تنبيه الأمان المناسبَين من Qualcomm. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل Qualcomm.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | حرج | مكوّن مغلق المصدر |
| CVE-2024-21481 |
A-323918669 * | عالٍ | مكوّن مغلق المصدر |
| CVE-2024-23352 |
A-323918787 * | عالٍ | مكوّن مغلق المصدر |
| CVE-2024-23353 |
A-323918845 * | عالٍ | مكوّن مغلق المصدر |
| CVE-2024-23355 |
A-323918338 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2024-23356 |
A-323919081 * | عالٍ | مكوّن مغلق المصدر |
| CVE-2024-23357 |
A-323919249 * | عالٍ | مكوّن مغلق المصدر |
الأسئلة والإجابات الشائعة
يقدّم هذا القسم إجابات عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذه النشرة.
1. كيف يمكنني معرفة ما إذا كان جهازي محدّثًا لمعالجة هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى رمز تصحيح الأمان على الجهاز، اطّلِع على مقالة التحقّق من إصدار Android على جهازك وتحديثه.
- تعالج مستويات تصحيحات الأمان بتاريخ 01/08/2024 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 01/08/2024.
- تعالج مستويات تصحيحات الأمان بتاريخ 05-08-2024 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05-08-2024 و جميع مستويات التصحيحات السابقة.
على مصنعي الأجهزة الذين يضيفون هذه التعديلات ضبط مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
في بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث، سيتضمّن تحديث نظام Google Play سلسلة بيانات تتطابق مع مستوى تصحيح الأمان 01-08-2024. يُرجى الاطّلاع على هذه المقالة للحصول على مزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.
2. لماذا تتضمّن هذه النشرة الإخبارية مستويَين من تصحيحات الأمان؟
تحتوي هذه النشرة على مستويَين من رموز تصحيح الأمان، ما يمنح شركاء Android المرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المشابهة في جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بحلّ جميع المشاكل الواردة في هذه النشرة واستخدام أحدث مستوى من رموز تصحيح الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان 2024-08-01 جميع المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 05 آب (أغسطس) 2024 أو الإصدارات الأحدث جميع التصحيحات السارية في نشرة الأمان هذه (و النشرات السابقة).
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. ما هو معنى الإدخالات في عمود النوع؟
تشير الإدخالات في عمود النوع ضمن جدول تفاصيل الثغرة الأمنية إلى تصنيف ثغرة الأمان.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز البرمجي عن بُعد |
| EoP | تجاوز الأذونات |
| رقم التعريف | الإفصاح عن المعلومات |
| DoS | حجب الخدمة |
| لا ينطبق | التصنيف غير متاح |
4. ما المقصود بالإدخالات في عمود المراجِع؟
قد تحتوي الإدخالات ضمن عمود المرجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية.
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
| U- | الرقم المرجعي لشركة UNISOC |
5. ما المقصود بعلامة * بجانب رقم تعريف الخطأ في Android في عمود المرجع؟
تظهر علامة * بجانب رقم تعريف المرجع المقابل للمشاكل غير المتاحة للجميع. يتضمّن تحديث هذه المشكلة بشكل عام أحدث برامج تشغيل ثنائية لأجهزة Pixel المتوفّرة من موقع Google Developers الإلكتروني.
6. لماذا يتم تقسيم الثغرات الأمنية بين هٰذه النشرة ونشرات أمان الأجهزة أو الشركاء، مثل نشرة Pixel؟
يجب الإفصاح عن مستوى آخر تصحيح أمان على أجهزة Android في ما يتعلّق بالثغرات الأمنية الموثَّقة في نشرة الأمان هذه. إنّ الثغرات الأمنية الإضافية التي يتم تسجيلها في نشرات أمان الجهاز أو الشريك ليست مطلوبة للإعلان عن مستوى تصحيح الأمان. قد تنشر أيضًا الشركات المصنّعة لأجهزة Android والرقاقات تفاصيل الثغرات الأمنية الخاصة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung.
الإصدارات
| الإصدار | التاريخ | ملاحظات |
|---|---|---|
| 1 | 5 آب (أغسطس) 2024 | تم نشر النشرة. |
| 1.1 | 24 تشرين الأول (أكتوبر) 2024 | جدول CVE المعدَّل |