نشرة أمان Android — ديسمبر 2016

تم النشر في 05 ديسمبر 2016 | تم التحديث في 21 ديسمبر 2016

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Google من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 ديسمبر 2016 أو الإصدارات الأحدث جميع هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 07 نوفمبر 2016 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات في مستودع Android Open Source Project (AOSP) وتم ربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هي الثغرات الأمنية الخطيرة في التعليمات البرمجية الخاصة بالجهاز والتي يمكن أن تتيح تنفيذ تعليمات برمجية عشوائية في سياق النواة، مما يؤدي إلى احتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز . يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/12/2016 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بتاريخ 01/12/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 05/12/2016 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى معالجة جميع المشكلات المرتبطة بـ 01/12/2016 و05/12/2016 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
  • ستتلقى أجهزة Google المدعومة تحديثًا واحدًا عبر الهواء مع مستوى تصحيح الأمان بتاريخ 05 ديسمبر 2016.

عمليات تخفيف خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة، مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

  • Baozeng Ding، وChengming Yang، وPeng Xiao، وNing You، وYang Dong، وChao Yang، وYi Zhang، وYang Song من Alibaba Mobile Security Group: CVE-2016-6783، CVE-2016-6784، CVE-2016-6785
  • Chi Zhang وMingjian Zhou ( @Mingjian_Zhou ) وChiachih Wu ( @chiachih_wu ) وXuxian Jiang من فريق C0RE : CVE-2016-6789، CVE-2016-6790
  • كريستيان سيل: CVE-2016-6769
  • ديفيد بنجامين وكيني روت من Google: CVE-2016-6767
  • دي شين ( @returnsme ) من KeenLab ( @keen_lab )، Tencent: CVE-2016-6776، CVE-2016-6787
  • En He ( @heeeeen4x ) من MS509Team : CVE-2016-6763
  • Gengjia Chen ( @chengjia4574pjf of IceSword Lab، Qihoo 360 Technology Co. Ltd.: CVE-2016-6779، CVE-2016-6778، CVE-2016-8401، CVE-2016-8402، CVE-2016-8403، CVE-2016-8409، CVE-2016-8408، CVE-2016-8404
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf من IceSword Lab، Qihoo 360 Technology Co. Ltd: CVE-2016-6788، CVE-2016-6781، CVE-2016-6782، CVE-2016-8396
  • Lubo Zhang و Tong Lin و Yuan-Tsung Lo و Chiachih Wu ( @chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6791، CVE-2016-8391، CVE-2016-8392
  • العلامة التجارية للمشروع Zero: CVE-2016-6772
  • ميشال بدنارسكي : CVE-2016-6770، CVE-2016-6774
  • Mingjian Zhou ( @Mingjian_ZhouوChi Zhang ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6761، CVE-2016-6759، CVE-2016-8400
  • Mingjian Zhou ( @Mingjian_Zhou )، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6760
  • Mingjian Zhou ( @Mingjian_ZhouوHanxiang Wen ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6759
  • ناثان كراندال ( @natecray ) من فريق أمان منتجات Tesla Motors: CVE-2016-6915، CVE-2016-6916، CVE-2016-6917
  • Nightwatch Cybersecurity Research ( @nightwatchcyber ): CVE-2016-5341
  • Pengfei Ding (丁鹏飞)، Chenfu Bao (包沉浮)، Lenx Wei (韦韬) من Baidu X-Lab: CVE-2016-6755، CVE-2016-6756
  • بيتر باي ( @heisecode ) من Trend Micro: CVE-2016-8397، CVE-2016-8405، CVE-2016-8406، CVE-2016-8407
  • تشيدان هي (何淇丹) ( @flanker_hqd ) من KeenLab، Tencent (腾讯科恩实验室): CVE-2016-8399، CVE-2016-8395
  • تشيدان هي (何淇丹) ( @flanker_hqd ) وماركو غراسي ( @marcograss ) من KeenLab، Tencent (腾讯科恩实验室): CVE-2016-6768
  • ريتشارد شوباك: CVE-2016-5341
  • ساجي كيدمي من IBM X-Force Research: CVE-2016-8393، CVE-2016-8394
  • Seven Shen ( @lingtongshen ) من فريق أبحاث التهديدات المتنقلة، شركة Trend Micro Inc.: CVE-2016-6757
  • Weichao Sun ( @sunblate ) من شركة Alibaba Inc.: CVE-2016-6773
  • Wenke Dou و Chi Zhang و Chiachih Wu ( @chiachih_wu ) و Xuxian Jiang من فريق C0RE : CVE-2016-6765
  • Wish Wu ( @wish_wu ) (吴潍浠) من Mobile Threat Response Team ، Trend Micro Inc .: CVE-2016-6704
  • Yuan-Tsung Lo ، وTong Lin ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6786، CVE-2016-6780، CVE-2016-6775
  • Yuan-Tsung Lo ، وXiaodong Wang ، وChiachih Wu ( @chiachih_wu )، وXuxian Jiang من فريق C0RE : CVE-2016-6777
  • Yuxiang Li من قسم Tencent Security Platform: CVE-2016-6771
  • Zhe Jin (金哲) من مركز الاستجابة الأمنية Chengdu، Qihoo 360 Technology Co. Ltd.: CVE-2016-6764، CVE-2016-6766
  • Zinuo Han من مركز الاستجابة الأمنية Chengdu التابع لشركة Qihoo 360 Technology Co. Ltd.: CVE-2016-6762

شكرًا إضافيًا لأشكر MengLuo Gou ( @idhyt3r ) من شركة Bottle Tech، وYong Wang (王勇) ( @ThomasKing2014 )، وZubin Mithra من Google على مساهماتهم في هذه النشرة الأمنية.

01/12/2016 مستوى التصحيح الأمني ​​— تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-12-01. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في CURL/LIBCURL

يحتوي الجدول على ثغرات أمنية تؤثر على مكتبتي CURL وLIBCURL. يمكن أن تؤدي المشكلة الأكثر خطورة إلى تمكين مهاجم الوسيط باستخدام شهادة مزورة لتنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لأن المهاجم يحتاج إلى شهادة مزورة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-5419 أ-31271247 عالي الجميع 7.0 3 أغسطس 2016
CVE-2016-5420 أ-31271247 عالي الجميع 7.0 3 أغسطس 2016
CVE-2016-5421 أ-31271247 عالي الجميع 7.0 3 أغسطس 2016

رفع ثغرة الامتياز في libziparchive

يمكن أن تؤدي زيادة ثغرة الامتيازات في مكتبة libziparchive إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6762 ا-31251826 [ 2 ] عالي الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 28 أغسطس 2016

الحرمان من ثغرة الخدمة في الاتصالات الهاتفية

قد تؤدي ثغرة رفض الخدمة في الاتصالات الهاتفية إلى تمكين تطبيق ضار محلي من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة محليًا بشكل دائم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6763 أ-31530456 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 12 سبتمبر 2016

الحرمان من ثغرة الخدمة في Mediaserver

قد تؤدي ثغرة رفض الخدمة في Mediaserver إلى تمكين المهاجم من استخدام ملف معد خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6766 أ-31318219 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 5 سبتمبر 2016
CVE-2016-6765 أ-31449945 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 7.0 13 سبتمبر 2016
CVE-2016-6764 أ-31681434 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 22 سبتمبر 2016
CVE-2016-6767 أ-31833604 عالي لا أحد* 4.4.4 جوجل الداخلية

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في مكتبة Framesequence

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في مكتبة Framesequence إلى تمكين المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية لا تتمتع بأي امتيازات. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في تطبيق يستخدم مكتبة Framesequence.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6768 أ-31631842 عالي الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 19 سبتمبر 2016

رفع ثغرة الامتياز في Smart Lock

قد تؤدي زيادة ثغرة الامتيازات في Smart Lock إلى تمكين مستخدم ضار محلي من الوصول إلى إعدادات Smart Lock دون رقم PIN. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً الوصول الفعلي إلى جهاز غير مؤمّن حيث كان Smart Lock هو آخر جزء من الإعدادات يصل إليه المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6769 أ-29055171 معتدل لا أحد* 5.0.2، 5.1.1، 6.0، 6.0.1 27 مايو 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع مستوى الضعف في الامتيازات في Framework APIs

قد تؤدي زيادة ثغرة الامتياز في Framework API إلى تمكين تطبيق ضار محلي من الوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا للقيود المفروضة على عملية مقيدة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6770 أ-30202228 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 16 يوليو 2016

ارتفاع ثغرة الامتياز في الاتصالات الهاتفية

قد تؤدي زيادة ثغرة الامتيازات في الاتصالات الهاتفية إلى تمكين تطبيق ضار محلي من الوصول إلى وظائف النظام بما يتجاوز مستوى الوصول الخاص به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا محليًا للقيود المفروضة على عملية مقيدة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6771 أ-31566390 معتدل الجميع 6.0، 6.0.1، 7.0 17 سبتمبر 2016

رفع ثغرة الامتياز في شبكة Wi-Fi

قد تؤدي زيادة ثغرة الامتيازات في شبكة Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6772 ا-31856351 [ 2 ] معتدل الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 30 سبتمبر 2016

ثغرة الكشف عن المعلومات في Mediaserver

يمكن أن تؤدي ثغرة الكشف عن المعلومات في Mediaserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6773 ا-30481714 [ 2 ] معتدل الجميع 6.0، 6.0.1، 7.0 27 يوليو 2016

ثغرة أمنية في الكشف عن المعلومات في مدير الحزم

قد تؤدي ثغرة الكشف عن المعلومات في مدير الحزم إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-6774 أ-31251489 معتدل الجميع 7.0 29 أغسطس 2016

05/12/2016 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2016-12-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

رفع ثغرة الامتياز في النظام الفرعي لذاكرة kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لذاكرة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-4794 أ-31596597
نواة المنبع [ 2 ]
شديد الأهمية بكسل سي، بكسل، بكسل XL 17 أبريل 2016
CVE-2016-5195 أ-32141528
نواة المنبع [ 2 ]
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 12 أكتوبر 2016

رفع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6775 أ-31222873*
N-CVE-2016-6775
شديد الأهمية نيكزس 9 25 أغسطس 2016
CVE-2016-6776 أ-31680980*
N-CVE-2016-6776
شديد الأهمية نيكزس 9 22 سبتمبر 2016
CVE-2016-6777 أ-31910462*
N-CVE-2016-6777
شديد الأهمية نيكزس 9 3 أكتوبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في النواة

قد يؤدي ارتفاع ثغرة الامتيازات في kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2015-8966 أ-31435731
نواة المنبع
شديد الأهمية لا أحد* 10 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6915 أ-31471161*
N-CVE-2016-6915
شديد الأهمية نيكزس 9 13 سبتمبر 2016
CVE-2016-6916 أ-32072350*
N-CVE-2016-6916
شديد الأهمية نيكزس 9، بكسل سي 13 سبتمبر 2016
CVE-2016-6917 أ-32072253*
N-CVE-2016-6917
شديد الأهمية نيكزس 9 13 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل kernel ION

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل kernel ION إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-9120 أ-31568617
نواة المنبع
شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل سي، نيكزس بلاير 16 سبتمبر 2016

ثغرات أمنية في مكونات كوالكوم

تؤثر الثغرات الأمنية التالية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرة Qualcomm AMSS الأمنية لشهر نوفمبر 2015.

مكافحة التطرف العنيف مراجع خطورة* أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8411 أ-31805216** شديد الأهمية نيكزس 6، نيكزس 6P، أندرويد وان كوالكوم الداخلية

* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.

** التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في نظام ملفات kernel

قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-4014 أ-31252187
نواة المنبع
عالي نيكزس 6، نيكزس بلاير 10 يونيو 2014

رفع ثغرة الامتياز في النواة

يمكن أن تؤدي زيادة ثغرة الامتيازات في kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً استغلال ثغرة أمنية منفصلة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2015-8967 أ-31703084
نواة المنبع
عالي نيكزس 5X، نيكزس 6P، نيكزس 9، بكسل C، بكسل، بكسل XL 8 يناير 2015

رفع ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت HTC

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل برنامج ترميز الصوت HTC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6778 أ-31384646* عالي نيكزس 9 25 فبراير 2016
CVE-2016-6779 أ-31386004* عالي نيكزس 9 25 فبراير 2016
CVE-2016-6780 أ-31251496* عالي نيكزس 9 30 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6492 أ-28175122
MT-ALPS02696413
عالي لا أحد* 11 أبريل 2016
CVE-2016-6781 أ-31095175
MT-ALPS02943455
عالي لا أحد* 22 أغسطس 2016
CVE-2016-6782 أ-31224389
MT-ALPS02943506
عالي لا أحد* 24 أغسطس 2016
CVE-2016-6783 أ-31350044
MT-ALPS02943437
عالي لا أحد* 6 سبتمبر 2016
CVE-2016-6784 أ-31350755
MT-ALPS02961424
عالي لا أحد* 6 سبتمبر 2016
CVE-2016-6785 أ-31748056
MT-ALPS02961400
عالي لا أحد* 25 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع مستوى الضعف في الامتيازات في برامج ترميز وسائط Qualcomm

قد تؤدي زيادة ثغرة الامتيازات في برامج ترميز وسائط Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6761 أ-29421682*
مراقبة الجودة-CR#1055792
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL 16 يونيو 2016
CVE-2016-6760 أ-29617572*
مراقبة الجودة-CR#1055783
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL 23 يونيو 2016
CVE-2016-6759 أ-29982686*
مراقبة الجودة-CR#1055766
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL 4 يوليو 2016
CVE-2016-6758 أ-30148882*
مراقبة الجودة-CR#1071731
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL 13 يوليو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل كاميرا Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6755 أ-30740545
مراقبة الجودة-CR#1065916
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 3 أغسطس 2016

رفع ثغرة الامتياز في النظام الفرعي لأداء kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأداء kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6786 A-30955111 نواة المنبع عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 18 أغسطس 2016
CVE-2016-6787 A-31095224 نواة المنبع عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 22 أغسطس 2016

رفع ثغرة الامتياز في برنامج تشغيل MediaTek I2C

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek I2C إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6788 أ-31224428
MT-ALPS02943467
عالي لا أحد* 24 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في مكتبة NVIDIA libomx

يمكن أن تؤدي زيادة ثغرة الامتيازات في مكتبة NVIDIA libomx (libnvomx) إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6789 أ-31251973*
N-CVE-2016-6789
عالي بكسل سي 29 أغسطس 2016
CVE-2016-6790 أ-31251628*
N-CVE-2016-6790
عالي بكسل سي 28 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6791 أ-31252384
مراقبة الجودة-CR#1071809
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 31 أغسطس 2016
CVE-2016-8391 أ-31253255
مراقبة الجودة-CR#1072166
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 31 أغسطس 2016
CVE-2016-8392 أ-31385862
مراقبة الجودة-CR#1073136
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 8 سبتمبر 2016

رفع ثغرة الامتياز في النظام الفرعي لأمان kernel

يمكن أن تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لأمان kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2015-7872 أ-31253168
نواة المنبع
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، نيكزس بلاير، بيكسل، بيكسل XL 31 أغسطس 2016

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8393 أ-31911920* عالي نيكزس 5X، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل، بكسل XL 8 سبتمبر 2016
CVE-2016-8394 أ-31913197* عالي نيكزس 9، أندرويد وان 8 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-9909 أ-31676542
ب-رب #26684
عالي لا أحد* 21 سبتمبر 2016
CVE-2014-9910 أ-31746399
ب-رب #26710
عالي لا أحد* 26 سبتمبر 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو MediaTek إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8396 أ-31249105 عالي لا أحد* 26 أغسطس 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8397 أ-31385953*
N-CVE-2016-8397
عالي نيكزس 9 8 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

الحرمان من ثغرة الخدمة في نظام تحديد المواقع

قد تؤدي ثغرة رفض الخدمة في مكون Qualcomm GPS إلى تمكين مهاجم عن بعد من التسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة مؤقتًا عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-5341 أ-31470303* عالي نيكزس 6، نيكزس 5X، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل، بكسل XL 21 يونيو 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

الحرمان من ثغرة الخدمة في برنامج تشغيل الكاميرا NVIDIA

قد تؤدي ثغرة رفض الخدمة في برنامج تشغيل كاميرا NVIDIA إلى تمكين المهاجم من التسبب في رفض الخدمة المحلي الدائم، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمال رفض الخدمة محليًا بشكل دائم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8395 أ-31403040*
N-CVE-2016-8395
عالي بكسل سي 9 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في النظام الفرعي لشبكات kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لشبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة كما أن تحسينات برنامج التحويل البرمجي الحالية تقيد الوصول إلى التعليمات البرمجية المعرضة للخطر.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8399 أ-31349935* معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 5 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات كوالكوم

يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات Qualcomm، بما في ذلك برنامج تشغيل الكاميرا وبرنامج تشغيل الفيديو، إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-6756 أ-29464815
مراقبة الجودة-CR#1042068 [ 2 ]
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 17 يونيو 2016
CVE-2016-6757 أ-30148242
مراقبة الجودة-CR#1052821
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، بكسل، بكسل XL 13 يوليو 2016

ثغرة أمنية في الكشف عن المعلومات في مكتبة NVIDIA librm

يمكن أن تؤدي ثغرة أمنية في الكشف عن المعلومات في مكتبة NVIDIA librm (libnvrm) إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8400 أ-31251599*
N-CVE-2016-8400
معتدل بكسل سي 29 أغسطس 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

ثغرة الكشف عن المعلومات في مكونات النواة

يمكن أن تؤدي ثغرة الكشف عن المعلومات في مكونات kernel بما في ذلك نظام ION الفرعي وBinder وبرنامج تشغيل USB والنظام الفرعي للشبكة إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8401 أ-31494725* معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 13 سبتمبر 2016
CVE-2016-8402 أ-31495231* معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 13 سبتمبر 2016
CVE-2016-8403 أ-31495348* معتدل نيكزس 9 13 سبتمبر 2016
CVE-2016-8404 أ-31496950* معتدل نيكزس 9 13 سبتمبر 2016
CVE-2016-8405 أ-31651010* معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 21 سبتمبر 2016
CVE-2016-8406 أ-31796940* معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 27 سبتمبر 2016
CVE-2016-8407 أ-31802656* معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 28 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8408 أ-31496571*
N-CVE-2016-8408
معتدل نيكزس 9 13 سبتمبر 2016
CVE-2016-8409 أ-31495687*
N-CVE-2016-8409
معتدل نيكزس 9 13 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Google المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8410 أ-31498403
مراقبة الجودة-CR#987010
معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان جوجل الداخلية

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .

  • تعالج مستويات تصحيح الأمان 01-12-2016 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 01-12-2016.
  • تتناول مستويات تصحيح الأمان 2016-12-05 أو الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2016-12-05 وجميع مستويات التصحيح السابقة.

يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. لماذا تحتوي هذه النشرة على مستويين من التصحيح الأمني؟

تحتوي هذه النشرة على مستويين من التصحيح الأمني ​​بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.

  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 ديسمبر 2016 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 ديسمبر 2016 أو الأحدث جميع التصحيحات القابلة للتطبيق في هذه النشرة الأمنية (والسابقة).

يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.

3. كيف يمكنني تحديد أجهزة Google المتأثرة بكل مشكلة؟

في قسمي تفاصيل الثغرات الأمنية 01-12-2016 و05-12-2016 ، يحتوي كل جدول على عمود أجهزة Google المحدثة الذي يغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على الكل وأجهزة Pixel، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . يشمل "الكل" الأجهزة المدعومة التالية: Nexus 5 وNexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
  • بعض أجهزة Google : إذا لم تؤثر المشكلة على جميع أجهزة Google، فسيتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
  • لا توجد أجهزة Google : إذا لم تتأثر أي أجهزة Google تعمل بنظام التشغيل Android 7.0 بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Google المحدثة .

4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

التنقيحات

  • 05 ديسمبر 2016: نشر النشرة.
  • 07 ديسمبر 2016: تمت مراجعة النشرة لتشمل روابط AOSP والإسناد المحدث لـ CVE-2016-6915 وCVE-2016-6916 وCVE-2016-6917.
  • 21 ديسمبر 2016: تم تصحيح الأخطاء المطبعية في وصف CVE-2016-8411 والأسئلة والأجوبة الشائعة.