نشرة أمان Android — سبتمبر 2016

ديد

تم النشر في 06 سبتمبر 2016 | تم التحديث في 12 سبتمبر 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لـ Nexus على موقع Google Developer . تعالج مستويات التصحيح الأمني ​​بتاريخ 06 سبتمبر 2016 أو ما بعده هذه المشكلات. راجع الوثائق لمعرفة كيفية التحقق من مستوى التصحيح الأمني. ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني ​​بتاريخ 06 سبتمبر 2016.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 05 أغسطس 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف آثار خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على ثلاث سلاسل لمستوى التصحيح الأمني ​​لتزويد شركاء Android بالمرونة اللازمة للتحرك بسرعة أكبر لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/09/2016 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بتاريخ 01/09/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 05/09/2016 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بـ 01/09/2016 و05/09/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 06-09-2016 : أكمل سلسلة مستوى تصحيح الأمان، والتي تعالج المشكلات التي تم اكتشافها بعد إخطار الشركاء بمعظم المشكلات في هذه النشرة. تشير سلسلة مستوى تصحيح الأمان هذه إلى أن جميع المشكلات المرتبطة بـ 01/09/2016 و05/09/2016 و06/09/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة) قد تمت معالجتها.
  • ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني ​​بتاريخ 06 سبتمبر 2016.

عمليات تخفيف خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو أمر مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • كوري بروس من جامعة كارنيجي ميلون: CVE-2016-3897
  • Gengjia Chen ( @chengjia4574 ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-3869، CVE-2016-3865، CVE-2016-3866، CVE-2016-3867
  • Hao Qin من مختبر أبحاث الأمان، Cheetah Mobile : CVE-2016-3863
  • جان هورن من Google Project Zero: CVE-2016-3885
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf من IceSword Lab، Qihoo 360: CVE-2016-3858
  • جوشوا دريك ( @jduck ): CVE-2016-3861
  • Madhu Priya Murugan من CISPA، جامعة سارلاند: CVE-2016-3896
  • ماكوتو أونوكي من Google: CVE-2016-3876
  • العلامة التجارية لـ Google Project Zero: CVE-2016-3861
  • ماكس سبيكتور لأمن أندرويد: CVE-2016-3888
  • Max Spector وQuan To من Android Security: CVE-2016-3889
  • Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-3895
  • ناثان كراندال ( @natecray ) من فريق أمان منتجات Tesla Motors: اكتشاف مشكلات إضافية تتعلق بـ CVE-2016-2446
  • أوليكسي فيالوف من Google: CVE-2016-3890
  • أوليفر تشانغ من فريق أمان Google Chrome: CVE-2016-3880
  • Peng Xiao، وChengming Yang، وNing You، وChao Yang، وYang Song، من Alibaba Mobile Security Group: CVE-2016-3859
  • Ronald L. Loor Vargas ( @loor_rlv ) من TEAM Lv51: CVE-2016-3886
  • ساجي كيدمي، باحث في IBM Security X-Force: CVE-2016-3873
  • سكوت باور ( @ScottyBauer1 ): CVE-2016-3893، CVE-2016-3868، CVE-2016-3867
  • Seven Shen ( @lingtongshen ) من TrendMicro: CVE-2016-3894
  • تيم ستراتزير ( @timstrazz ) من SentinelOne / RedNaga: CVE-2016-3862
  • تروتماستر ( @trotmaster99 ): CVE-2016-3883
  • فيكتور تشانغ من Google: CVE-2016-3887
  • فيغنيش فينكاتاسوبرامانيان من Google: CVE-2016-3881
  • Weichao Sun ( @sunblate ) من شركة Alibaba Inc: CVE-2016-3878
  • Wenke Dou ، وMingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-3870، CVE-2016-3871، CVE-2016-3872
  • Wish Wu (吴潍浠) ( @wish_wu ) من شركة Trend Micro Inc .: CVE-2016-3892
  • Xingyu He (何星宇) ( @Spid3r_ ) من شركة Alibaba Inc : CVE-2016-3879
  • Yacong Gu من مختبر TCA، معهد البرمجيات، الأكاديمية الصينية للعلوم: CVE-2016-3884
  • يورو شاو من جامعة ميشيغان آن أربور: CVE-2016-3898

01/09/2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-09-2016. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في LibUtils

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في LibUtils إلى تمكين المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في التطبيقات التي تستخدم هذه المكتبة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3861 ا-29250543 [ 2 ] [ 3 ] [ 4 ] شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 9 يونيو 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملفات الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3862 أ-29270469 شديد الأهمية كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 10 يونيو 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في MediaMuxer

يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في MediaMuxer إلى تمكين المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في تطبيق يستخدم MediaMuxer.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3863 أ-29161888 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 6 يونيو 2016

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3870 أ-29421804 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 15 يونيو 2016
CVE-2016-3871 ا-29422022 [ 2 ] [ 3 ] عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 15 يونيو 2016
CVE-2016-3872 ا-29421675 [ 2 ] عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 15 يونيو 2016

رفع ثغرة الامتياز في تمهيد الجهاز

قد يؤدي رفع الامتيازات أثناء تسلسل التمهيد إلى تمكين مهاجم ضار محلي من التمهيد في الوضع الآمن على الرغم من تعطيله. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم لأي تعديلات على إعدادات المطور أو الأمان.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3875 أ-26251884 عالي لا أحد* 6.0، 6.0.1 جوجل الداخلية

* لا تتأثر أجهزة Nexus المدعومة التي تعمل بنظام التشغيل Android 7.0 والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في الإعدادات

قد يؤدي رفع الامتيازات في الإعدادات إلى تمكين مهاجم ضار محلي من التمهيد في الوضع الآمن على الرغم من تعطيله. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم لأي تعديلات على إعدادات المطور أو الأمان.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3876 أ-29900345 عالي كل نيكزس 6.0، 6.0.1، 7.0 جوجل الداخلية

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3899 أ-29421811 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 16 يونيو 2016
CVE-2016-3878 أ-29493002 عالي جميع أجهزة Nexus* 6.0، 6.0.1 17 يونيو 2016
CVE-2016-3879 أ-29770686 عالي جميع أجهزة Nexus* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 25 يونيو 2016
CVE-2016-3880 أ-25747670 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 جوجل الداخلية
CVE-2016-3881 أ-30013856 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 جوجل الداخلية

* لا تتأثر أجهزة Nexus المدعومة التي تعمل بنظام التشغيل Android 7.0 والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ارتفاع ثغرة الامتياز في الاتصالات الهاتفية

قد تؤدي زيادة ثغرة الامتياز في مكون الاتصال الهاتفي إلى تمكين تطبيق ضار محلي من إرسال رسائل SMS مميزة غير مصرح بها. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للحصول على إمكانات مرتفعة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3883 أ-28557603 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 3 مايو 2016

رفع ثغرة الامتيازات في خدمة مدير الإشعارات

قد تؤدي زيادة ثغرة الامتيازات في خدمة إدارة الإشعارات إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم، مثل الوصول إلى الوظائف التي تتطلب عادةً بدء المستخدم أو إذن المستخدم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3884 أ-29421441 معتدل كل نيكزس 6.0، 6.0.1، 7.0 15 يونيو 2016

رفع ثغرة الامتياز في Debuggerd

قد تؤدي زيادة ثغرة الامتياز في مصحح أخطاء Android المدمج إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق مصحح أخطاء Android. تم تصنيف هذه المشكلة على أنها متوسطة الخطورة نظرًا لإمكانية تنفيذ التعليمات البرمجية التعسفية المحلية في عملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3885 أ-29555636 معتدل كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 21 يونيو 2016

رفع ثغرة الامتياز في System UI Tuner

قد يؤدي رفع الامتيازات في System UI Tuner إلى تمكين مستخدم ضار محلي من تعديل الإعدادات المحمية عند قفل الجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها عبارة عن تجاوز محلي لأذونات المستخدم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3886 أ-30107438 معتدل كل نيكزس 7.0 23 يونيو 2016

رفع ثغرة الامتياز في الإعدادات

قد تؤدي زيادة ثغرة الامتيازات في الإعدادات إلى تمكين تطبيق ضار محلي من تجاوز حماية نظام التشغيل لإعدادات VPN. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات التي تقع خارج مستويات أذونات التطبيق.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3887 أ-29899712 معتدل كل نيكزس 7.0 جوجل الداخلية

رفع ثغرة الامتياز في الرسائل القصيرة

قد تؤدي زيادة ثغرة الامتيازات في الرسائل القصيرة إلى تمكين مهاجم محلي من إرسال رسائل SMS مميزة قبل توفير الجهاز. تم تصنيف هذا على أنه متوسط ​​نظرًا لإمكانية تجاوز حماية إعادة ضبط المصنع، والتي من المفترض أن تمنع استخدام الجهاز قبل إعداده.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3888 أ-29420123 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 جوجل الداخلية

رفع ثغرة الامتياز في الإعدادات

قد تؤدي زيادة ثغرة الامتياز في الإعدادات إلى تمكين مهاجم محلي من تجاوز حماية إعادة ضبط المصنع والوصول إلى الجهاز. تم تصنيف هذا على أنه متوسط ​​نظرًا لإمكانية تجاوز حماية إعادة ضبط المصنع، مما قد يؤدي إلى إعادة ضبط الجهاز بنجاح ومحو جميع بياناته.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3889 ا-29194585 [ 2 ] معتدل كل نيكزس 6.0، 6.0.1، 7.0 جوجل الداخلية

رفع ثغرة الامتياز في Java Debug Wire Protocol

قد تؤدي زيادة ثغرة الامتياز في Java Debug Wire Protocol إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق تطبيق نظام مرتفع. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب تكوينًا غير شائع للجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3890 ا-28347842 [ 2 ] معتدل لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 جوجل الداخلية

* لا تتأثر أجهزة Nexus المدعومة التي تعمل بنظام التشغيل Android 7.0 والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة الكشف عن المعلومات في Mediaserver

يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3895 أ-29983260 معتدل كل نيكزس 6.0، 6.0.1، 7.0 4 يوليو 2016

ثغرة الكشف عن المعلومات في بريد AOSP

يمكن أن تؤدي الثغرة الأمنية في الكشف عن المعلومات في AOSP Mail إلى تمكين تطبيق ضار محلي من الوصول إلى معلومات المستخدم الخاصة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول بشكل غير صحيح إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3896 أ-29767043 معتدل لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 24 يوليو 2016

* لا تتأثر أجهزة Nexus المدعومة التي تعمل بنظام التشغيل Android 7.0 والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة الكشف عن المعلومات في شبكة Wi-Fi

قد تسمح ثغرة أمنية في الكشف عن المعلومات في تكوين Wi-Fi لأحد التطبيقات بالوصول إلى المعلومات الحساسة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3897 ا-25624963 [ 2 ] معتدل لا أحد* 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1 5 نوفمبر 2015

* لا تتأثر أجهزة Nexus المدعومة التي تعمل بنظام التشغيل Android 7.0 والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

الحرمان من ثغرة الخدمة في الاتصالات الهاتفية

قد تؤدي ثغرة رفض الخدمة في مكون الاتصال الهاتفي إلى تمكين تطبيق ضار محلي من منع مكالمات 911 TTY من شاشة مقفلة. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمالية رفض الخدمة لوظيفة مهمة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3898 أ-29832693 معتدل كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 28 يونيو 2016

05/09/2016 مستوى التصحيح الأمني ​​— تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-09-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

رفع ثغرة الامتياز في النظام الفرعي لأمان kernel

يمكن أن تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2014-9529 أ-29510361

نواة المنبع

شديد الأهمية نيكزس 5، نيكزس 6، نيكزس 9، نيكزس بلاير، أندرويد وان 6 يناير 2015
CVE-2016-4470 أ-29823941

نواة المنبع

شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير 15 يونيو 2016

رفع ثغرة الامتياز في النظام الفرعي لشبكات kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لشبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2013-7446 أ-29119002

نواة المنبع

شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 18 نوفمبر 2015

رفع ثغرة الامتياز في النظام الفرعي لـ kernel netfilter

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لـ kernel netfilter إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3134 أ-28940694

نواة المنبع

شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 9 مارس 2016

رفع ثغرة الامتياز في برنامج تشغيل USB الخاص بـ kernel

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل USB لـ kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3951 أ-28744625

نواة المنبع [ 2 ]

شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 6 أبريل 2016

رفع ثغرة الامتياز في النظام الفرعي للصوت kernel

قد تؤدي زيادة ثغرة الامتياز في النظام الفرعي للصوت kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2014-4655 أ-29916012

نواة المنبع

عالي نيكزس 5، نيكزس 6، نيكزس 9، نيكزس بلاير 26 يونيو 2014

رفع ثغرة الامتياز في وحدة فك ترميز kernel ASN.1

يمكن أن تؤدي زيادة ثغرة الامتياز في وحدة فك ترميز kernel ASN.1 إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2053 أ-28751627

نواة المنبع

عالي نيكزس 5X، نيكزس 6P 25 يناير 2016

رفع ثغرة الامتياز في طبقة واجهة راديو Qualcomm

قد تؤدي زيادة ثغرة الامتياز في طبقة واجهة راديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق النواة. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3864 أ-28823714*
مراقبة الجودة-CR#913117
عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 29 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل نظام Qualcomm الفرعي

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل النظام الفرعي Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3858 أ-28675151
مراقبة الجودة-CR#1022641
عالي نيكزس 5X، نيكزس 6P 9 مايو 2016

رفع ثغرة الامتياز في برنامج تشغيل شبكة kernel

قد تؤدي زيادة ثغرة الامتيازات في برنامج تشغيل شبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-4805 أ-28979703

نواة المنبع

عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9 15 مايو 2016

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3865 أ-28799389* عالي نيكزس 5X، نيكزس 9 16 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3859 أ-28815326*
مراقبة الجودة-CR#1034641
عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P 17 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3866 أ-28868303*
مراقبة الجودة-CR#1032820
عالي نيكزس 5X، نيكزس 6، نيكزس 6P 18 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm IPA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm IPA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3867 أ-28919863*
مراقبة الجودة-CR#1037897
عالي نيكزس 5X، نيكزس 6P 21 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الطاقة Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الطاقة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3868 أ-28967028*
مراقبة الجودة-CR#1032875
عالي نيكزس 5X، نيكزس 6P 25 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3869 أ-29009982*
ب-رب #96070
عالي نيكزس 5، نيكزس 6، نيكزس 6 بي، نيكزس 9، نيكزس بلاير، بكسل سي 27 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتيازات في نظام ملفات kernel eCryptfs

قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel eCryptfs إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-1583 أ-29444228
نواة المنبع
عالي بكسل سي 1 يونيو 2016

رفع ثغرة الامتياز في نواة NVIDIA

يمكن أن تؤدي زيادة ثغرة الامتيازات في NVIDIA kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية الخطورة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3873 أ-29518457*
N-CVE-2016-3873
عالي نيكزس 9 20 يونيو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3874 أ-29944562
مراقبة الجودة-CR#997797 [ 2 ]
عالي نيكزس 5X 1 يوليو 2016

الحرمان من ثغرة الخدمة في النظام الفرعي لشبكات kernel

قد تؤدي ثغرة رفض الخدمة في النظام الفرعي لشبكة kernel إلى تمكين المهاجم من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بعد.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-1465 أ-29506807

نواة المنبع

عالي نيكزس 5، نيكزس 6، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 3 فبراير 2015
CVE-2015-5364 أ-29507402

نواة المنبع

عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 30 يونيو 2015

الحرمان من ثغرة الخدمة في نظام الملفات kernel ext4

قد تؤدي ثغرة رفض الخدمة في نظام ملفات kernel ext4 إلى تمكين المهاجم من التسبب في رفض الخدمة المحلي الدائم، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة محليًا بشكل دائم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-8839 أ-28760453* عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 4 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Qualcomm SPMI

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل Qualcomm SPMI إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3892 أ-28760543*
مراقبة الجودة-CR#1024197
معتدل نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P 13 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج ترميز الصوت Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج ترميز الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3893 أ-29512527
مراقبة الجودة-CR#856400
معتدل نيكزس 6P 20 يونيو 2016

ثغرة أمنية في الكشف عن المعلومات في مكون Qualcomm DMA

قد تؤدي ثغرة الكشف عن المعلومات في مكون Qualcomm DMA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3894 أ-29618014*
مراقبة الجودة-CR#1042033
معتدل نيكزس 6 23 يونيو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في النظام الفرعي لشبكات kernel

قد تؤدي ثغرة الكشف عن المعلومات في النظام الفرعي لشبكة kernel إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-4998 أ-29637687
نواة المنبع [ 2 ]
معتدل نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 24 يونيو 2016

الحرمان من ثغرة الخدمة في النظام الفرعي لشبكات kernel

قد تؤدي ثغرة رفض الخدمة في النظام الفرعي لشبكة kernel إلى تمكين المهاجم من حظر الوصول إلى إمكانيات Wi-Fi. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمال رفض خدمة إمكانات Wi-Fi مؤقتًا عن بعد.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-2922 أ-29409847

نواة المنبع

معتدل نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 4 أبريل 2015

ثغرات أمنية في مكونات كوالكوم

يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm، ومن المحتمل أن تتضمن أداة تحميل التشغيل، وبرنامج تشغيل الكاميرا، وبرنامج تشغيل الأحرف، والشبكات، وبرنامج تشغيل الصوت، وبرنامج تشغيل الفيديو.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2469 مراقبة الجودة-CR#997025 عالي لا أحد يونيو 2016
CVE-2016-2469 مراقبة الجودة-CR#997015 معتدل لا أحد يونيو 2016

06/09/2016 مستوى التصحيح الأمني ​​— تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 06-09-2016. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

رفع ثغرة الامتياز في النظام الفرعي للذاكرة المشتركة لـ kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي للذاكرة المشتركة لـ kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-5340 أ-30652312
مراقبة الجودة-CR#1008948
شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 26 يوليو 2016

رفع ثغرة الامتياز في مكون شبكة Qualcomm

قد تؤدي زيادة ثغرة الامتياز في مكون شبكة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2059 أ-27045580
مراقبة الجودة-CR#974577
عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 4 فبراير 2016

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

تتناول مستويات تصحيح الأمان 01-09-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 01-09-2016. تتناول مستويات تصحيح الأمان 05-09-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 05-09-2016. تتناول مستويات تصحيح الأمان 06-09-2016 أو الإصدارات الأحدث كافة المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 06-09-2016. ارجع إلى مركز المساعدة للحصول على إرشادات حول كيفية التحقق من مستوى التصحيح الأمني. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-09-01]، [ro.build.version.security_patch]:[2016-09-05]، أو [ro.build.version.security_patch]:[2016-09-06].

2. لماذا تحتوي هذه النشرة على ثلاث سلاسل على مستوى التصحيح الأمني؟

تحتوي هذه النشرة على ثلاث سلاسل على مستوى التصحيح الأمني ​​بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث سلسلة لمستوى تصحيح الأمان.

يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 6 سبتمبر 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في نشرات الأمان هذه (والسابقة). تم إنشاء مستوى التصحيح هذا لمعالجة المشكلات التي تم اكتشافها بعد إخطار الشركاء لأول مرة بمعظم المشكلات في هذه النشرة.

يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 سبتمبر 2016 جميع المشكلات المرتبطة بمستوى تصحيح الأمان هذا، ومستوى تصحيح الأمان بتاريخ 1 سبتمبر 2016 وإصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة. قد تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 سبتمبر 2016 أيضًا مجموعة فرعية من الإصلاحات المرتبطة بمستوى تصحيح الأمان بتاريخ 6 سبتمبر 2016.

يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 سبتمبر 2016 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة. قد تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 سبتمبر 2016 أيضًا مجموعة فرعية من الإصلاحات المرتبطة بمستويات تصحيح الأمان بتاريخ 5 سبتمبر 2016 و6 سبتمبر 2016.

3 . كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟

في الأقسام 01-09-2016 و05-09-2016 و06-09-2016 ، يحتوي كل جدول على عمود أجهزة Nexus المحدثة الذي يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus، فسيحتوي الجدول على "All Nexus" في عمود أجهزة Nexus المحدثة . يشتمل "All Nexus" على الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 7 (2013) وNexus 9 وAndroid One وNexus Player وPixel C.
  • بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدثة .
  • لا توجد أجهزة Nexus : إذا لم تتأثر أي أجهزة Nexus تعمل بنظام التشغيل Android 7.0 بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Nexus المحدثة .

4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

التنقيحات

  • 06 سبتمبر 2016: نشر النشرة.
  • 07 سبتمبر 2016: تمت مراجعة النشرة لتشمل روابط AOSP.
  • 12 سبتمبر 2016: تمت مراجعة النشرة لتحديث إسناد CVE-2016-3861 وإزالة CVE-2016-3877.