يحتوي نشرة أمان Android على تفاصيل حول ثغرات الأمان التي تؤثر في أجهزة Android. تعالج جميع مستويات تصحيحات الأمان بتاريخ 05/09/2024 أو الإصدارات الأحدث كل هذه المشاكل. للتعرّف على كيفية معرفة مستوى تصحيح الأمان على الجهاز، اطّلِع على المقالة التحقّق من إصدار Android على جهازك وتحديثه.
يتم إشعار شركاء Android بجميع المشاكل قبل شهر واحد على الأقل من نشرها. سيتم إصدار تصحيحات الرموز المصدر لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) خلال الـ 48 ساعة القادمة. سنعدّل هذه النشرة من خلال إضافة روابط AOSP عندما تصبح متاحة.
وأخطر هذه المشاكل هي ثغرة أمنية خطيرة في مكوّن Framework يمكن أن تؤدي إلى تصعيد ميزة الامتياز على الجهاز بدون الحاجة إلى امتيازات تنفيذ إضافية. يستند تقييم الخطورة إلى التأثير الذي قد ينتج عن استغلال الثغرة الأمنية في أحد الأجهزة المتأثرة، بافتراض أنّه تم إيقاف تدابير التخفيف من مخاطر المنصة والخدمة لأغراض التطوير أو إذا تم تجاوزها بنجاح.
يُرجى الرجوع إلى قسم إجراءات التخفيف في Android و"Google Play للحماية" لمعرفة تفاصيل عن وسائل حماية منصّة Android للأمان و"Google Play للحماية"، اللتين تُحسِّنان من أمان نظام Android الأساسي.
إجراءات التخفيف في Android وخدمات Google
في ما يلي ملخّص للإجراءات الوقائية التي يوفّرها نظام Android الأساسي للأمان وخدمات الحماية، مثل Google Play للحماية. تقلِّل هذه الإمكانات من احتمالية استغلال ثغرات الأمان بنجاح على Android.
- تم تحسين الإصدارات الأحدث من نظام Android ليصبح من الصعب استغلال العديد من المشاكل على هذا النظام. وننصحك جميع المستخدمين بالتحديث إلى أحدث إصدار من Android كلما أمكن ذلك.
- يرصد فريق أمان Android إساءة الاستخدام بشكل نشط من خلال Google Play للحماية ويحذّر المستخدمين بشأن التطبيقات التي يُحتمل أن تكون ضارة. تكون خدمات "Google Play للحماية" مفعّلة تلقائيًا على الأجهزة التي تعمل باستخدام خدمات Google للأجهزة الجوّالة، وهي مهمة بشكلٍ خاص للمستخدمين الذين يثبّتون التطبيقات من خارج "Google Play".
تفاصيل الثغرة الأمنية في مستوى رمز تصحيح الأمان بتاريخ 01/09/2024
في الأقسام أدناه، نقدّم تفاصيل عن كل من ثغرات الأمان التي تنطبق على مستوى التصحيح بتاريخ 01-09-2024. يتم تجميع الثغرات الأمنية ضمن المكوّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والإحالات المرتبطة به ونوع الثغرة الأمنية ومستوى خطورتها وإصدارات AOSP المعدَّلة (حيث ينطبق ذلك). نربط التغيير العلني الذي تم من خلاله حلّ المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بالإصدار 10 من Android والإصدارات الأحدث تحديثات الأمان بالإضافة إلى تحديثات نظام Google Play.
إطار العمل
يمكن أن تؤدي أشد الثغرات خطورة في هذا القسم إلى تصعيد الامتيازات على مستوى الجهاز بدون الحاجة إلى سوى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2024-32896 | A-324321147 [2] | EoP | عالية | 12, 12L, 13, 14 |
| CVE-2024-40658 | A-329641908 | EoP | عالية | 12, 12L, 13, 14 |
| CVE-2024-40662 | A-261721900 | EoP | عالية | 12, 12L, 13, 14 |
النظام
يمكن أن تؤدي أشد الثغرات خطورة في هذا القسم إلى تصعيد الامتيازات على مستوى الجهاز بدون الحاجة إلى سوى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2024-40650 | A-293199910 | EoP | عالية | 12, 12L, 13, 14 |
| CVE-2024-40652 | A-327749022 | EoP | عالية | 12, 12L, 13, 14 |
| CVE-2024-40654 | A-333364513 | EoP | عالية | 12, 12L, 13, 14 |
| CVE-2024-40655 | A-300904123 | EoP | عالية | 12, 12L, 13, 14 |
| CVE-2024-40657 | A-341886134 | EoP | عالية | 12, 12L, 13, 14 |
| CVE-2024-40656 | A-329058967 | رقم التعريف | عالية | 12, 12L, 13, 14 |
| CVE-2024-40659 | A-336976105 | DoS | عالية | 14 |
تحديثات نظام Google Play
يتم تضمين المشاكل التالية في مكونات Project Mainline.
| المكوّن الفرعي | CVE |
|---|---|
| توفير المفاتيح عن بُعد | CVE-2024-40659 |
تفاصيل الثغرة الأمنية في مستوى رمز تصحيح الأمان بتاريخ 05/09/2024
في الأقسام أدناه، نقدّم تفاصيل عن كل من ثغرات الأمان التي تنطبق على مستوى التصحيح في 5 أيلول (سبتمبر) 2024. يتم تجميع الثغرات الأمنية ضمن المكوّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والإحالات المرتبطة به ونوع الثغرة الأمنية ومستوى خطورتها وإصدارات AOSP المعدَّلة (حيث ينطبق ذلك). نربط التغيير العلني الذي عالج المشكلة برقم تعريف الخطأ، مثل قائمة التغييرات في AOSP، إذا كان ذلك متاحًا. عندما تكون هناك تغييرات متعدّدة مرتبطة بخطأ واحد، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ.
فرقعة
يمكن أن تؤدي الثغرة الأمنية الواردة في هذا القسم إلى تصعيد امتيازات محلية بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|---|
| CVE-2024-36972 |
A-342490466 النواة الأساسية [2] [3] [4] [5] [6] |
EoP | عالية | الصافي |
مكونات الذراع
تؤثر هذه الثغرة الأمنية في مكونات Arm، ويمكنك الحصول على مزيد من التفاصيل من Arm مباشرةً. يقدّم فريق Arm تقييمًا لمستوى خطورة هذه المشكلة مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-3655 |
A-346629290 * | عالية | مالي |
Imagination Technologies
تؤثر هذه الثغرات الأمنية في مكونات Imagination Technologies وتتوفّر مزيد من التفاصيل مباشرةً من Imagination Technologies. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل Imagination Technologies.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-23716 |
A-350535746 * | عالية | وحدة معالجة الرسومات PowerVR |
| CVE-2024-31336 |
A-337949672 * | عالية | وحدة معالجة الرسومات PowerVR |
مكونات Unisoc
تؤثر هذه الثغرات الأمنية في مكونات Unisoc، ويمكنك الحصول على مزيد من التفاصيل من Unisoc مباشرةً. تقدّم شركة Unisoc مباشرةً تقييمًا لشدّة هذه المشاكل.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-39431 |
A-349917018 U-2638126 * |
عالية | المودم |
| CVE-2024-39432 |
A-349916584 U-2638173 * |
عالية | المودم |
مكونات Qualcomm
تؤثر هذه الثغرات الأمنية في مكونات Qualcomm ويتم وصفها بالتفصيل في نشرة أمان Qualcomm أو تنبيه الأمان المناسب. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل شركة Qualcomm.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-33042 |
A-344620519 QC-CR#3774878 |
حرِج | شبكة WLAN |
| CVE-2024-33052 |
A-344620630 QC-CR#3773240 |
حرِج | شبكة WLAN |
| CVE-2024-33034 |
A-350500940 QC-CR#3744850 |
عالية | الشاشة |
| CVE-2024-33035 |
A-344620673 QC-CR#3734251 |
عالية | الشاشة |
| CVE-2024-33038 |
A-344620773 QC-CR#3696086 |
عالية | الكاميرا |
| CVE-2024-33043 |
A-344620433 QC-CR#3774849 |
عالية | شبكة WLAN |
| CVE-2024-33045 |
A-344620353 QC-CR#3745620 |
عالية | برنامج الإقلاع |
| CVE-2024-33048 |
A-344620292 QC-CR#3704739 QC-CR#3707241 |
عالية | شبكة WLAN |
| CVE-2024-33050 |
A-344620238 QC-CR#3717568 |
عالية | شبكة WLAN |
| CVE-2024-33054 |
A-344620733 QC-CR#3667735 |
عالية | الكاميرا |
| CVE-2024-33057 |
A-344620215 QC-CR#3699767 |
عالية | شبكة WLAN |
| CVE-2024-33060 |
A-350500584 QC-CR#3735984 [2] |
عالية | فرقعة |
مكوّنات Qualcomm المغلقة المصدر
تؤثر هذه الثغرات الأمنية في مكوّنات Qualcomm المغلقة المصدر، وهي موضّحة بمزيد من التفصيل في نشرة الأمان أو تنبيه الأمان المناسبَين من Qualcomm. يتم تقديم تقييم خطورة هذه المشاكل مباشرةً من قِبل شركة Qualcomm.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-23358 |
A-328083897 * | عالية | مكوّن مغلق المصدر |
| CVE-2024-23359 |
A-328083933 * | عالية | مكوّن مغلق المصدر |
| CVE-2024-23362 |
A-328084308 * | عالية | مكوّن مغلق المصدر |
| CVE-2024-23364 |
A-328083671 * | عالية | مكوّن مغلق المصدر |
| CVE-2024-23365 |
A-328083987 * | عالية | مكوّن مغلق المصدر |
| CVE-2024-33016 |
A-339043498 * | عالية | مكوّن مغلق المصدر |
| CVE-2024-33051 |
A-344620373 * | عالية | مكوّن مغلق المصدر |
الأسئلة الشائعة والإجابات
يقدّم هذا القسم إجابات عن الأسئلة الشائعة التي قد تخطر لك بعد قراءة هذه النشرة.
1. كيف يمكنني معرفة ما إذا كان جهازي محدّثًا لمعالجة هذه المشاكل؟
لمعرفة كيفية التحقّق من مستوى تحديث الأمان على الجهاز، اطّلِع على مقالة التحقّق من إصدار Android على جهازك وتحديثه.
- تعالج مستويات تصحيحات الأمان بتاريخ 1 أيلول (سبتمبر) 2024 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 1 أيلول (سبتمبر) 2024.
- تعالج مستويات تصحيحات الأمان بتاريخ 05/09/2024 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى تصحيح الأمان بتاريخ 05/09/2024 و جميع مستويات التصحيحات السابقة.
على مصنعي الأجهزة الذين يضيفون هذه التعديلات ضبط مستوى سلسلة التصحيح على:
- [ro.build.version.security_patch]:[2024-09-01]
- [ro.build.version.security_patch]:[2024-09-05]
في بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث، سيتضمّن تحديث نظام Google Play سلسلة تاريخ تتطابق مع مستوى تصحيح الأمان بتاريخ 01-09-2024. يُرجى الاطّلاع على هذه المقالة للحصول على مزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.
2. لماذا تتضمّن هذه النشرة إشعارَين بمستوى تصحيح أمان؟
تتضمّن هذه النشرة إشعارَين بمستوى تصحيح الأمان ليتمكّن شركاء Android من إصلاح مجموعة فرعية من نقاط الضعف المتشابهة على جميع أجهزة Android بشكل أسرع. ننصحك بحلّ جميع المشاكل الواردة في هذه النشرة واستخدام أحدث مستوى من تصحيحات الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان 2024-09-01 جميع المشاكل المرتبطة بهذا المستوى، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى تصحيح الأمان في 05/09/2024 أو إصدارًا أحدث جميع التصحيحات السارية في نشرة الأمان هذه (و النشرات السابقة).
ننصح الشركاء بتجميع الإصلاحات لجميع المشاكل التي يعالجونها في تحديث واحد.
3. ما معنى الإدخالات في عمود النوع؟
تشير الإدخالات في عمود النوع في جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز البرمجي عن بُعد |
| EoP | تجاوز الأذونات |
| رقم التعريف | الإفصاح عن المعلومات |
| DoS | حجب الخدمة |
| لا ينطبق | التصنيف غير متاح |
4. ما المقصود بالإدخالات في عمود المرجع؟
قد تحتوي الإدخالات ضمن عمود المرجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدِّد المؤسسة التي تنتمي إليها القيمة المرجعية.
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
| U- | الرقم المرجعي لشركة UNISOC |
5. ما المقصود بعلامة * بجانب رقم تعريف الخطأ في Android في عمود المرجع؟
تظهر علامة * بجانب الرقم التعريفي المرجعي المرتبط بالمشاكل التي لا تكون متاحة للجميع. يتضمّن تحديث هذه المشكلة بشكل عام أحدث برامج تشغيل ثنائية لأجهزة Pixel المتوفّرة من موقع Google Developer الإلكتروني.
6. لماذا يتم تقسيم الثغرات الأمنية بين نشرة الأمان هذه ونشرات أمان الأجهزة أو الشركاء، مثل نشرة أمان Pixel؟
يجب الإفصاح عن مستوى آخر تصحيح أمان على أجهزة Android في ما يتعلّق بالثغرات الأمنية الموثَّقة في نشرة الأمان هذه. إنّ الثغرات الأمنية الإضافية التي يتم تسجيلها في نشرات أمان الجهاز أو الشريك ليست مطلوبة للإبلاغ عن مستوى تصحيح الأمان. قد ينشر أيضًا مصنعو أجهزة Android وشرائح المعالجة تفاصيل محددة عن ثغرات الأمان في منتجاتهم، مثل Huawei أو LGE أو Motorola أو Nokia أو Samsung.
الإصدارات
| الإصدار | التاريخ | الملاحظات |
|---|---|---|
| 1 | 3 أيلول (سبتمبر) 2024 | تم نشر النشرة |