نشرة أمان Android — أكتوبر 2016

تم النشر في 03 أكتوبر 2016 | تم التحديث في 04 أكتوبر 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Nexus من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لـ Nexus على موقع Google Developer . تعالج مستويات تصحيح الأمان بتاريخ 05 أكتوبر 2016 أو ما بعده هذه المشكلات. راجع الوثائق لمعرفة كيفية التحقق من مستوى التصحيح الأمني. ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني ​​بتاريخ 05 أكتوبر 2016.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 06 سبتمبر 2016 أو قبل ذلك. حيثما أمكن، تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات إلى مستودع Android Open Source Project (AOSP). تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هي الثغرات الأمنية الخطيرة في التعليمات البرمجية الخاصة بالجهاز والتي يمكن أن تمكن تنفيذ التعليمات البرمجية عن بعد داخل سياق النواة، مما يؤدي إلى احتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز . يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/10/2016 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بتاريخ 01/10/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 05/10/2016 : إكمال سلسلة مستوى التصحيح الأمني. تشير سلسلة مستوى تصحيح الأمان هذه إلى أن كافة المشكلات المرتبطة بـ 01/10/2016 و05/10/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة) قد تمت معالجتها.
  • ستتلقى أجهزة Nexus المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني ​​بتاريخ 05 أكتوبر 2016.

عمليات تخفيف خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services ، وهو أمر مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • أندريه تيكسيرا ريزو: CVE-2016-3882
  • أندريا بيوندو: CVE-2016-3921
  • دانيال ميكاي من شركة Copperhead Security: CVE-2016-3922
  • ديمتري فيوكوف من جوجل: CVE-2016-7117
  • دوسومدر: CVE-2016-3931
  • Ecular Xu (徐健) من Trend Micro: CVE-2016-3920
  • Gengjia Chen ( @chengjia4574 ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-6690، CVE-2016-3901، CVE-2016-6672، CVE-2016-3940، CVE-2016-3935
  • Hang Zhang و Dongdong She و Zhiyun Qian من جامعة كاليفورنيا في ريفرسايد: CVE-2015-8950
  • Hao Chen من Alpha Team، شركة Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
  • جان هورن من Google Project Zero: CVE-2016-3900، CVE-2016-3885
  • جيسون روجينا : CVE-2016-3917
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf of IceSword Lab، Qihoo 360: CVE-2016-6688، CVE-2016-6677، CVE-2016-6673، CVE-2016-6687، CVE-2016-6686، CVE-2016-6681 ، CVE-2016-6682، CVE-2016-3930
  • جوشوا دريك ( @jduck ): CVE-2016-3920
  • Maciej Szawłowski من فريق أمان Google: CVE-2016-3905
  • العلامة التجارية لـ Google Project Zero: CVE-2016-6689
  • ميشال بدنارسكي : CVE-2016-3914، CVE-2016-6674، CVE-2016-3911، CVE-2016-3912
  • Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-3933، CVE-2016-3932
  • Nightwatch Cybersecurity Research ( @nightwatchcyber ): CVE-2016-5348
  • روي هاي، باحث في IBM Security X-Force: CVE-2016-6678
  • صموئيل تان من جوجل: CVE-2016-3925
  • سكوت باور ( @ScottyBauer1 ): CVE-2016-3936، CVE-2016-3928، CVE-2016-3902، CVE-2016-3937، CVE-2016-6696
  • Seven Shen ( @lingtongshen ) من فريق أبحاث Trend Micro Mobile Threat Research: CVE-2016-6685، CVE-2016-6683، CVE-2016-6680، CVE-2016-6679، CVE-2016-3903، CVE-2016-6693، CVE-2016-6694، CVE-2016-6695
  • Wenke Dou ، وMingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-3909
  • Wenlin Yang وGuang Gong (龚广) ( @oldfresher ) من Alpha Team، Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
  • Wish Wu (吴潍浠) ( @wish_wu) من شركة Trend Micro Inc .: CVE-2016-3924، CVE-2016-3915، CVE-2016-3916، CVE-2016-3910
  • Yong Shi من فريق Eagleye، SCC، Huawei: CVE-2016-3938
  • Zhanpeng Zhao (行之) ( @0xr0ot ) من Security Research Lab، Cheetah Mobile : CVE-2016-3908

01-10-2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-10-01. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

رفع ثغرة الامتياز في ServiceManager

قد يؤدي رفع الامتياز في ServiceManager إلى تمكين تطبيق ضار محلي من تسجيل خدمات عشوائية يتم توفيرها عادةً من خلال عملية مميزة، مثل system_server. تم تصنيف هذه المشكلة على أنها عالية الخطورة نظرًا لاحتمال انتحال هوية الخدمة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3900 ا-29431260 [ 2 ] عالي كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 15 يونيو 2016

رفع ثغرة الامتياز في خدمة إعدادات القفل

قد تؤدي زيادة ثغرة الامتياز في خدمة إعدادات القفل إلى تمكين تطبيق ضار محلي من مسح رقم التعريف الشخصي أو كلمة المرور للجهاز. تم تصنيف هذه المشكلة على أنها عالية لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم لأي تعديلات على إعدادات المطور أو الأمان.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3908 أ-30003944 عالي كل نيكزس 6.0، 6.0.1، 7.0 6 يوليو 2016

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3909 ا-30033990 [ 2 ] عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 8 يوليو 2016
CVE-2016-3910 أ-30148546 عالي كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 13 يوليو 2016
CVE-2016-3913 أ-30204103 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 18 يوليو 2016

رفع ثغرة الامتياز في عملية Zygote

قد يؤدي رفع الامتياز في عملية Zygote إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية ذات امتيازات. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3911 أ-30143607 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 12 يوليو 2016

رفع مستوى الضعف في الامتيازات في واجهات برمجة التطبيقات (APIs) الإطارية

يمكن أن تؤدي زيادة ثغرة الامتيازات في واجهات برمجة التطبيقات (APIs) الخاصة بإطار العمل إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3912 أ-30202481 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 17 يوليو 2016

ارتفاع ثغرة الامتياز في الاتصالات الهاتفية

قد تؤدي زيادة ثغرة الامتياز في مكون الاتصال الهاتفي إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3914 أ-30481342 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 28 يوليو 2016

رفع ثغرة الامتياز في خدمة الكاميرا

قد تؤدي زيادة ثغرة الامتيازات في خدمة الكاميرا إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3915 أ-30591838 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 1 أغسطس 2016
CVE-2016-3916 أ-30741779 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 2 أغسطس 2016

رفع ثغرة الامتياز في تسجيل الدخول ببصمة الإصبع

قد تؤدي زيادة ثغرة الامتياز أثناء تسجيل الدخول ببصمة الإصبع إلى تمكين مالك الجهاز الضار من تسجيل الدخول كحساب مستخدم مختلف على الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال تجاوز شاشة القفل.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3917 أ-30744668 عالي كل نيكزس 6.0.1، 7.0 5 أغسطس 2016

ثغرة الكشف عن المعلومات في بريد AOSP

قد تؤدي ثغرة الكشف عن المعلومات في AOSP Mail إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3918 أ-30745403 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 5 أغسطس 2016

الحرمان من ثغرة أمنية في خدمة الواي فاي

قد تؤدي ثغرة رفض الخدمة في شبكة Wi-Fi إلى تمكين مهاجم محلي قريب من إنشاء نقطة اتصال والتسبب في إعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بعد.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3882 أ-29464811 عالي كل نيكزس 6.0، 6.0.1، 7.0 17 يونيو 2016

الحرمان من ثغرة الخدمة في نظام تحديد المواقع

قد تؤدي ثغرة رفض الخدمة في مكون نظام تحديد المواقع العالمي (GPS) إلى تمكين مهاجم بعيد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بعد.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-5348 أ-29555864 عالي كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 20 يونيو 2016

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3920 أ-30744884 عالي كل نيكزس 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 5 أغسطس 2016

رفع مستوى الضعف في الامتيازات في Framework Lister

قد تؤدي زيادة ثغرة الامتيازات في Framework Lister إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3921 أ-29831647 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 25 يونيو 2016

ارتفاع ثغرة الامتياز في الاتصالات الهاتفية

قد تؤدي زيادة ثغرة الامتيازات في الاتصالات الهاتفية إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3922 أ-30202619 معتدل كل نيكزس 6.0، 6.0.1، 7.0 17 يوليو 2016

رفع مستوى الضعف في الامتيازات في خدمات إمكانية الوصول

قد تؤدي زيادة ثغرة الامتيازات في خدمات إمكانية الوصول إلى تمكين تطبيق ضار محلي من إنشاء أحداث لمس غير متوقعة على الجهاز مما قد يؤدي إلى قبول التطبيقات لمربعات حوار الأذونات دون موافقة صريحة من المستخدم. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا لمتطلبات تفاعل المستخدم التي تتطلب عادةً بدء المستخدم أو إذن المستخدم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3923 أ-30647115 معتدل كل نيكزس 7.0 جوجل الداخلية

ثغرة الكشف عن المعلومات في Mediaserver

يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3924 أ-30204301 معتدل كل نيكزس 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 18 يوليو 2016

الحرمان من ثغرة أمنية في خدمة الواي فاي

قد تؤدي ثغرة رفض الخدمة في خدمة Wi-Fi إلى تمكين تطبيق ضار محلي لمنع الاتصال عبر Wi-Fi. تم تصنيف هذه المشكلة على أنها متوسطة نظرًا لاحتمالية رفض الخدمة لوظائف التطبيق.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-3925 أ-30230534 معتدل كل نيكزس 6.0، 6.0.1، 7.0 جوجل الداخلية

05/10/2016 مستوى التصحيح الأمني ​​— تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-10-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورتها، وأجهزة Nexus المحدثة، وإصدارات AOSP المحدثة (حيثما أمكن)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في وحدة فك ترميز kernel ASN.1

يمكن أن تؤدي زيادة ثغرة الامتياز في وحدة فك ترميز kernel ASN.1 إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-0758 أ-29814470
نواة المنبع
شديد الأهمية نيكزس 5X، نيكزس 6P 12 مايو 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في النظام الفرعي لشبكات kernel

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في النظام الفرعي لشبكة kernel إلى تمكين المهاجم عن بعد من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-7117 أ-30515201
نواة المنبع
شديد الأهمية كل نيكزس جوجل الداخلية

رفع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3928 أ-30019362*
م-ALPS02829384
شديد الأهمية لا أحد 6 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الذاكرة المشتركة لـ kernel

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الذاكرة المشتركة لـ kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-5340 أ-30652312
مراقبة الجودة-CR#1008948
شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 26 يوليو 2016

ثغرات أمنية في مكونات كوالكوم

يحتوي الجدول أدناه على ثغرات أمنية تؤثر على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرات الأمان Qualcomm AMSS لشهر مارس 2016 وQualcomm AMSS لشهر أبريل 2016.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3926 أ-28823953* شديد الأهمية نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P كوالكوم الداخلية
CVE-2016-3927 أ-28823244* شديد الأهمية نيكزس 5X، نيكزس 6P كوالكوم الداخلية
CVE-2016-3929 أ-28823675* عالي نيكزس 5X، نيكزس 6P كوالكوم الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في مكون شبكة Qualcomm

قد تؤدي زيادة ثغرة الامتياز في مكون شبكة Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-2059 أ-27045580
مراقبة الجودة-CR#974577
عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 4 فبراير 2016

رفع ثغرة الامتياز في برنامج تشغيل اختبار NVIDIA MMC

يمكن أن تؤدي زيادة ثغرة الامتياز في برنامج تشغيل اختبار NVIDIA MMC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3930 أ-28760138*
N-CVE-2016-3930
عالي نيكزس 9 12 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm QSEE Communicator

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm QSEE Communicator إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3931 أ-29157595
مراقبة الجودة-CR#1036418
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 4 يونيو 2016

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3932 أ-29161895
م-ALPS02770870
عالي لا أحد 6 يونيو 2016
CVE-2016-3933 أ-29421408*
N-CVE-2016-3933
عالي نيكزس 9، بكسل سي 14 يونيو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3903 أ-29513227
مراقبة الجودة-CR#1040857
عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 20 يونيو 2016
CVE-2016-3934 أ-30102557
مراقبة الجودة-CR#789704
عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 12 يوليو 2016

رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-8951 أ-30142668
مراقبة الجودة-CR#948902
مراقبة الجودة-CR#948902
عالي نيكزس 5X، نيكزس 6P، أندرويد وان 20 يونيو 2016

رفع ثغرة الامتياز في برنامج تشغيل محرك التشفير Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل محرك التشفير Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3901 أ-29999161
مراقبة الجودة-CR#1046434
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 6 يوليو 2016
CVE-2016-3935 أ-29999665
مراقبة الجودة-CR#1046507
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 6 يوليو 2016

رفع ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3936 أ-30019037*
م-ALPS02829568
عالي لا أحد 6 يوليو 2016
CVE-2016-3937 أ-30030994*
م-ALPS02834874
عالي لا أحد 7 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الفيديو Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل فيديو Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3938 أ-30019716
مراقبة الجودة-CR#1049232
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 7 يوليو 2016
CVE-2016-3939 أ-30874196
مراقبة الجودة-CR#1001224
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان 15 أغسطس 2016

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3940 أ-30141991* عالي نيكسس 6 بي، أندرويد وان 12 يوليو 2016
CVE-2016-6672 أ-30537088* عالي نيكزس 5X 31 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الكاميرا NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6673 أ-30204201*
N-CVE-2016-6673
عالي نيكزس 9 17 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في system_server

قد تؤدي زيادة ثغرة الامتيازات في system_server إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6674 أ-30445380* عالي كل نيكزس 26 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3905 أ-28061823
مراقبة الجودة-CR#1001449
عالي نيكزس 5X جوجل الداخلية
CVE-2016-6675 أ-30873776
مراقبة الجودة-CR#1000861
عالي نيكزس 5X، أندرويد وان 15 أغسطس 2016
CVE-2016-6676 أ-30874066
مراقبة الجودة-CR#1000853
عالي نيكزس 5X، أندرويد وان 15 أغسطس 2016
CVE-2016-5342 أ-30878283
مراقبة الجودة-CR#1032174
عالي أندرويد وان 15 أغسطس 2016

رفع ثغرة الامتياز في النظام الفرعي لأداء kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-8955 أ-29508816
نواة المنبع
عالي نيكزس 5X، نيكزس 6P، بكسل C، أندرويد وان جوجل الداخلية

ثغرة أمنية في الكشف عن المعلومات في نظام kernel ION الفرعي

يمكن أن تؤدي ثغرة الكشف عن المعلومات في نظام kernel ION الفرعي إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-8950 أ-29795245
مراقبة الجودة-CR#1041735
عالي نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P 12 مايو 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6677 أ-30259955*
N-CVE-2016-6677
عالي نيكزس 9 19 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل شخصية Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل أحرف Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً اختراق عملية ذات امتيازات، ولا يمكن الوصول إلى التعليمات البرمجية الضعيفة حاليًا.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2015-0572 أ-29156684
مراقبة الجودة-CR#848489
معتدل نيكزس 5X، نيكزس 6P 28 مايو 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-3860 أ-29323142
مراقبة الجودة-CR#1038127
معتدل نيكزس 5X، نيكزس 6P، أندرويد وان 13 يونيو 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Motorola USBNet

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل Motorola USBNet إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6678 أ-29914434* معتدل نيكزس 6 30 يونيو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات كوالكوم

يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات Qualcomm، بما في ذلك برنامج تشغيل الصوت وبرنامج تشغيل IPA وبرنامج تشغيل Wi-Fi، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6679 أ-29915601
مراقبة الجودة-CR#1000913 [ 2 ]
معتدل نيكزس 5X، أندرويد وان 30 يونيو 2016
CVE-2016-3902 أ-29953313*
مراقبة الجودة-CR#1044072
معتدل نيكزس 5X، نيكزس 6P، 2 يوليو 2016
CVE-2016-6680 أ-29982678*
مراقبة الجودة-CR#1048052
معتدل نيكزس 5X، أندرويد وان 3 يوليو 2016
CVE-2016-6681 أ-30152182
مراقبة الجودة-CR#1049521
معتدل نيكزس 5X، نيكزس 6P، أندرويد وان 14 يوليو 2016
CVE-2016-6682 أ-30152501
مراقبة الجودة-CR#1049615
معتدل نيكزس 5X، نيكزس 6P، أندرويد وان 14 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات النواة

يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات kernel، بما في ذلك Binder وSync وBluetooth وSound driver، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6683 أ-30143283* معتدل كل نيكزس 13 يوليو 2016
CVE-2016-6684 أ-30148243* معتدل نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، أندرويد وان 13 يوليو 2016
CVE-2015-8956 أ-30149612* معتدل نيكزس 5، نيكزس 6P، أندرويد وان 14 يوليو 2016
CVE-2016-6685 أ-30402628* معتدل نيكزس 6P 25 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في ملف تعريف NVIDIA

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في ملف تعريف NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6686 أ-30163101*
N-CVE-2016-6686
معتدل نيكزس 9 15 يوليو 2016
CVE-2016-6687 أ-30162222*
N-CVE-2016-6687
معتدل نيكزس 9 15 يوليو 2016
CVE-2016-6688 أ-30593080*
N-CVE-2016-6688
معتدل نيكزس 9 2 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة الكشف عن المعلومات في النواة

قد تؤدي الثغرة الأمنية في الكشف عن المعلومات في Binder إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6689 أ-30768347* معتدل كل نيكزس 9 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

الحرمان من ثغرة الخدمة في النظام الفرعي لشبكات kernel

قد تؤدي ثغرة رفض الخدمة في النظام الفرعي لشبكة kernel إلى تمكين المهاجم من حظر الوصول إلى اتصالات TCP والتسبب في رفض مؤقت للخدمة عن بعد. تم تصنيف هذه المشكلة على أنها متوسطة لأن الخدمات الخلوية لا تزال متاحة ولا يزال الجهاز قابلاً للاستخدام.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-5696 أ-30809774
نواة المنبع
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، نيكزس بلاير، بكسل سي، أندرويد وان 12 يوليو 2016

رفض ثغرة الخدمة في برنامج تشغيل الصوت kernel

قد تؤدي ثغرة رفض الخدمة في kernel إلى السماح لتطبيق ضار محلي بالتسبب في إعادة تشغيل الجهاز. تم تصنيف هذه المشكلة على أنها منخفضة لأنها تمثل رفضًا مؤقتًا للخدمة.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6690 أ-28838221* قليل نيكزس 5، نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس بلاير 18 مايو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرات أمنية في مكونات كوالكوم

يحتوي الجدول أدناه على قائمة بالثغرات الأمنية التي تؤثر على مكونات Qualcomm.

مكافحة التطرف العنيف مراجع خطورة تم تحديث أجهزة Nexus تاريخ الإبلاغ
CVE-2016-6691 مراقبة الجودة-CR#978452 عالي لا أحد يوليو 2016
CVE-2016-6692 مراقبة الجودة-CR#1004933 عالي لا أحد أغسطس 2016
CVE-2016-6693 مراقبة الجودة-CR#1027585 عالي لا أحد أغسطس 2016
CVE-2016-6694 مراقبة الجودة-CR#1033525 عالي لا أحد أغسطس 2016
CVE-2016-6695 مراقبة الجودة-CR#1033540 عالي لا أحد أغسطس 2016
CVE-2016-6696 مراقبة الجودة-CR#1041130 عالي لا أحد أغسطس 2016
CVE-2016-5344 مراقبة الجودة-CR#993650 معتدل لا أحد أغسطس 2016
CVE-2016-5343 مراقبة الجودة-CR#1010081 معتدل لا أحد أغسطس 2016

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

تتناول مستويات تصحيح الأمان 01-10-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 01-10-2016. تتناول مستويات تصحيح الأمان 05-10-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى سلسلة تصحيح الأمان 05-10-2016. ارجع إلى مركز المساعدة للحصول على إرشادات حول كيفية التحقق من مستوى التصحيح الأمني. يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على: [ro.build.version.security_patch]:[2016-10-01] أو [ro.build.version.security_patch]:[2016-10-05].

2. لماذا تحتوي هذه النشرة على سلسلتين على مستوى التصحيح الأمني؟

تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث سلسلة لمستوى تصحيح الأمان.

يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 أكتوبر 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في هذه النشرة الأمنية (والسابقة).

يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 أكتوبر 2016 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.

3. كيف يمكنني تحديد أجهزة Nexus المتأثرة بكل مشكلة؟

في قسمي تفاصيل الثغرات الأمنية 01/10/2016 و 05/10/2016 ، يحتوي كل جدول على عمود أجهزة Nexus المحدثة الذي يغطي نطاق أجهزة Nexus المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Nexus : إذا كانت هناك مشكلة تؤثر على جميع أجهزة Nexus، فسيحتوي الجدول على "All Nexus" في عمود أجهزة Nexus المحدثة . يشمل "All Nexus" الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C.
  • بعض أجهزة Nexus : إذا لم تؤثر المشكلة على جميع أجهزة Nexus، فسيتم إدراج أجهزة Nexus المتأثرة في عمود أجهزة Nexus المحدثة .
  • لا توجد أجهزة Nexus : إذا لم تتأثر أي أجهزة Nexus تعمل بنظام التشغيل Android 7.0 بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Nexus المحدثة .

4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

التنقيحات

  • 03 أكتوبر 2016: نشر النشرة.
  • 04 أكتوبر 2016: تمت مراجعة النشرة لتشمل روابط AOSP وإسنادات التحديث لـ CVE-2016-3920 وCVE-2016-6693 وCVE-2016-6694 وCVE-2016-6695 وCVE-2016-6696.