بولتن امنیتی اندروید - ژانویه 2017

منتشر شده در 03 ژانویه 2017 | به روز شده در 2 فوریه 2017

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Google از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 ژانویه 2017 یا بعد از آن همه این مسائل را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه به‌روزرسانی Pixel و Nexus مراجعه کنید.

در تاریخ 5 دسامبر 2016 یا قبل از آن، شرکا از مسائل شرح داده شده در بولتن مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت های پلتفرم امنیتی اندروید و محافظت های خدماتی مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

  • این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌ها را که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/01/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 01/01/2017 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
    • 05/01/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مرتبط با 2017-01-01 و 2017-01-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
  • دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی OTA با سطح وصله امنیتی 05 ژانویه 2017 دریافت خواهند کرد.

خلاصه آسیب پذیری امنیتی

جداول زیر فهرستی از آسیب‌پذیری‌های امنیتی، شناسه آسیب‌پذیری و مواجهه مشترک (CVE)، شدت ارزیابی‌شده، و اینکه آیا دستگاه‌های Google تحت تأثیر قرار می‌گیرند یا خیر، فهرستی از آسیب‌پذیری‌های امنیتی است. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های سرویس، مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به‌طور فعال نظارت بر سوء استفاده می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • الکساندرو بلاندا: CVE-2017-0390
  • دانیل میکای از Copperhead Security: CVE-2017-0397
  • Daxing Guo ( @freener0 ) از آزمایشگاه Xuanwu، Tencent: CVE-2017-0386
  • derrek ( @derrekr6 ): CVE-2017-0392
  • دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-8412، CVE-2016-8444، CVE-2016-8427، CVE-2017-0403
  • donfos (Aravind Machiry) از تیم Shellphish Grill، UC سانتا باربارا: CVE-2016-8448، CVE-2016-8470، CVE-2016-8471، CVE-2016-8472
  • En He ( @heeeeen4x ) از تیم MS509 : CVE-2017-0394
  • Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
  • تیم Google WebM: CVE-2017-0393
  • گوانگ گونگ (龚广) ( @oldfresher ) از تیم آلفا، Qihoo 360 Technology Co. Ltd .: CVE-2017-0387
  • هائو چن و گوانگ گونگ از تیم آلفا، Qihoo 360 Technology Co. Ltd.: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8451, CVE-2 -8465
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf آزمایشگاه IceSword، Qihoo 360: CVE-2016-8475
  • Jon Sawyer ( @jcase ) و شان Beaupre ( @firewaterdevs ): CVE-2016-8462
  • جان سایر ( @jcase )، شان بوپر ( @firewaterdevs )، و بن اکتیس ( @Ben_RA ): CVE-2016-8461
  • Mingjian Zhou ( @Mingjian_Zhou )، Yuqi Lu ( @nikos233 )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2017-0383
  • Monk Avel: CVE-2017-0396, CVE-2017-0399
  • پیتر پی ( @heisecode ) از Trend Micro: CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE- 8474
  • Qidan He (何淇丹) ( @flanker_hqd ) از KeenLab، Tencent (腾讯科恩实验室): CVE-2017-0382
  • Roee Hay و Michael Goberman از IBM Security X-Force: CVE-2016-8467
  • Seven Shen ( @lingtongshen ) از تیم تحقیقاتی Trend Micro Mobile Threat: CVE-2016-8466
  • استفان مورو: CVE-2017-0389
  • VEO ( @VYSEa ) تیم تحقیقاتی تهدیدات موبایل، Trend Micro : CVE-2017-0381
  • Weichao Sun ( @sunblate ) از Alibaba Inc.: CVE-2017-0391
  • Wenke Dou ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2017-0402، CVE-2017-0398
  • Wenke Dou ، Hanxiang Wen ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2017-0400
  • ونکه دو ، هنگلی هان ، چیاچی وو ( @chiachih_wu )، و ژوکیان جیانگ از تیم C0RE : CVE-2017-0384، CVE-2017-0385
  • Wenke Dou ، Yuqi Lu ( @nikos233 )، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2017-0401
  • Yao Jun ، Yuan-Tsung Lo ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-8431، CVE-2016-8432، CVE-2016-8435
  • یونگ وانگ (王勇) ( @ThomasKing2014 ) و جون چنگ از Alibaba Inc.: CVE-2017-0404
  • Yuan-Tsung Lo ، Tong Lin ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-8425، CVE-2016-8426، CVE-2016-8449
  • Yuan-Tsung Lo ، Yanfeng Wang ، Chiachih Wu ( @chiachih_wu )، و Xuxian Jiang از تیم C0RE : CVE-2016-8430، CVE-2016-8482
  • Yuxiang Li ( @Xbalien29 ) از بخش پلت فرم امنیتی Tencent: CVE-2017-0395
  • Zhanpeng Zhao (行之) ( @0xr0ot ) از آزمایشگاه تحقیقات امنیتی، Cheetah Mobile : CVE-2016-8451

همچنین از پژوهشگران زیر برای همکاری در این بولتن تشکر می کنیم:

  • Baozeng Ding، Chengming Yang، Peng Xiao، Ning You، Yang Dong، Chao Yang، Yi Zhang و Yang Song از گروه امنیتی موبایل علی بابا
  • پیتر پی ( @heisecode ) از Trend Micro
  • زوبین میترا از گوگل

سطح وصله امنیتی 01/01/2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 01-01-2017 اعمال می‌شود، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در c-ares

یک آسیب‌پذیری اجرای کد از راه دور در c-ares می‌تواند مهاجم را با استفاده از یک درخواست طراحی‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند. این موضوع به دلیل امکان اجرای کد از راه دور در برنامه ای که از این کتابخانه استفاده می کند، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-5180 الف-32205736 بالا همه 7.0 29 سپتامبر 2016

آسیب پذیری اجرای کد از راه دور در Framesequence

یک آسیب‌پذیری اجرای کد از راه دور در کتابخانه Framesequence می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند. این مشکل به دلیل امکان اجرای کد از راه دور در برنامه ای که از کتابخانه Framesequence استفاده می کند، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0382 الف-32338390 بالا همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 21 اکتبر 2016

افزایش آسیب پذیری امتیاز در Framework API

افزایش آسیب‌پذیری امتیاز در APIهای Framework می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0383 الف-31677614 بالا همه 7.0، 7.1.1 21 سپتامبر 2016

افزایش آسیب پذیری امتیاز در Audioserver

افزایش آسیب پذیری امتیاز در Audioserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0384 الف-32095626 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 11 اکتبر 2016
CVE-2017-0385 A-32585400 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 11 اکتبر 2016

افزایش آسیب پذیری امتیاز در libnl

افزایش آسیب پذیری امتیاز در کتابخانه libnl می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0386 الف-32255299 بالا همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 18 اکتبر 2016

افزایش آسیب پذیری امتیاز در مدیا سرور

افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0387 الف-32660278 بالا همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 4 نوامبر 2016

آسیب‌پذیری افشای اطلاعات در ارائه‌دهنده ذخیره‌سازی خارجی

یک آسیب‌پذیری افشای اطلاعات در ارائه‌دهنده ذخیره‌سازی خارجی می‌تواند یک کاربر ثانویه محلی را قادر سازد تا داده‌ها را از کارت SD ذخیره‌سازی خارجی که توسط کاربر اصلی درج شده است، بخواند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده ها بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0388 الف-32523490 بالا همه 6.0، 6.0.1، 7.0، 7.1.1 گوگل داخلی

آسیب پذیری انکار سرویس در شبکه اصلی

آسیب‌پذیری انکار سرویس در شبکه‌های اصلی می‌تواند مهاجم راه دور را قادر سازد تا از بسته‌های شبکه ساخته‌شده ویژه برای ایجاد قطع یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0389 A-31850211 [ 2 ] [ 3 ] بالا همه 6.0، 6.0.1، 7.0، 7.1.1 20 جولای 2016

آسیب پذیری انکار سرویس در Mediaserver

آسیب پذیری انکار سرویس در Mediaserver می تواند یک مهاجم راه دور را قادر سازد تا از یک فایل ساخته شده ویژه برای هنگ کردن یا راه اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0390 الف-31647370 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 19 سپتامبر 2016
CVE-2017-0391 الف-32322258 بالا همه 6.0، 6.0.1، 7.0، 7.1.1 20 اکتبر 2016
CVE-2017-0392 A-32577290 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 29 اکتبر 2016
CVE-2017-0393 الف-30436808 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 گوگل داخلی

آسیب پذیری انکار سرویس در تلفن

آسیب پذیری انکار سرویس در Telephony می تواند یک مهاجم از راه دور را قادر سازد تا دستگاه را قطع یا راه اندازی مجدد کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0394 الف-31752213 بالا همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 23 سپتامبر 2016

افزایش آسیب پذیری امتیاز در مخاطبین

افزایش آسیب‌پذیری امتیاز در مخاطبین می‌تواند یک برنامه مخرب محلی را قادر سازد تا اطلاعات تماس را بی‌صدا ایجاد کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا یک دور زدن محلی از الزامات تعامل کاربر است (دسترسی به عملکردی که معمولاً به شروع کاربر یا اجازه کاربر نیاز دارد).

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0395 A-32219099 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 15 اکتبر 2016

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0381 الف-31607432 در حد متوسط همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 18 سپتامبر 2016
CVE-2017-0396 الف-31781965 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 27 سپتامبر 2016
CVE-2017-0397 الف-32377688 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 21 اکتبر 2016

آسیب پذیری افشای اطلاعات در Audioserver

یک آسیب‌پذیری افشای اطلاعات در Audioserver می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0398 الف-32438594 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 25 اکتبر 2016
CVE-2017-0398 الف-32635664 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 25 اکتبر 2016
CVE-2017-0398 الف-32624850 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 25 اکتبر 2016
CVE-2017-0399 A-32247948 [ 2 ] در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 18 اکتبر 2016
CVE-2017-0400 A-32584034 [ 2 ] در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 25 اکتبر 2016
CVE-2017-0401 الف-32448258 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 26 اکتبر 2016
CVE-2017-0402 A-32436341 [ 2 ] در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 25 اکتبر 2016

سطح وصله امنیتی 05/01/2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۵-۰۱-۲۰۱۷ اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

افزایش آسیب پذیری امتیاز در زیر سیستم حافظه هسته

افزایش آسیب پذیری امتیاز در زیرسیستم حافظه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2015-3288 الف-32460277
هسته بالادست
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 9 جولای 2015

افزایش آسیب پذیری امتیاز در بوت لودر کوالکام

افزایش آسیب پذیری امتیاز در بوت لودر کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8422 الف-31471220
QC-CR#979426
بحرانی Nexus 6، Nexus 6P، Pixel، Pixel XL 22 جولای 2016
CVE-2016-8423 الف-31399736
QC-CR#1000546
بحرانی Nexus 6P، Pixel، Pixel XL 24 اوت 2016

افزایش آسیب پذیری امتیاز در سیستم فایل هسته

افزایش آسیب پذیری امتیاز در سیستم فایل هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2015-5706 الف-32289301
هسته بالادست
بحرانی هیچ یک* 1 اوت 2016

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی NVIDIA

افزایش آسیب پذیری امتیاز در درایور NVIDIA GPU می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8424 A-31606947*
N-CVE-2016-8424
بحرانی Nexus 9 17 سپتامبر 2016
CVE-2016-8425 A-31797770*
N-CVE-2016-8425
بحرانی Nexus 9 28 سپتامبر 2016
CVE-2016-8426 A-31799206*
N-CVE-2016-8426
بحرانی Nexus 9 28 سپتامبر 2016
CVE-2016-8482 A-31799863*
N-CVE-2016-8482
بحرانی Nexus 9 28 سپتامبر 2016
CVE-2016-8427 A-31799885*
N-CVE-2016-8427
بحرانی Nexus 9 28 سپتامبر 2016
CVE-2016-8428 A-31993456*
N-CVE-2016-8428
بحرانی Nexus 9 6 اکتبر 2016
CVE-2016-8429 A-32160775*
N-CVE-2016-8429
بحرانی Nexus 9 13 اکتبر 2016
CVE-2016-8430 A-32225180*
N-CVE-2016-8430
بحرانی Nexus 9 17 اکتبر 2016
CVE-2016-8431 A-32402179*
N-CVE-2016-8431
بحرانی پیکسل سی 25 اکتبر 2016
CVE-2016-8432 A-32447738*
N-CVE-2016-8432
بحرانی پیکسل سی 26 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور مدیاتک

افزایش آسیب پذیری امتیاز در درایور MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8433 A-31750190*
MT-ALPS02974192
بحرانی هیچ یک** 24 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی کوالکام

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8434 الف-32125137
QC-CR#1081855
بحرانی Nexus 5X، Nexus 6، Nexus 6P، Android One 12 اکتبر 2016

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی NVIDIA

افزایش آسیب پذیری امتیاز در درایور NVIDIA GPU می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8435 A-32700935*
N-CVE-2016-8435
بحرانی پیکسل سی 7 نوامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام

افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8436 الف-32450261
QC-CR#1007860
بحرانی هیچ یک* 13 اکتبر 2016

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری در اجزای کوالکام

آسیب‌پذیری‌های زیر بر مؤلفه‌های Qualcomm تأثیر می‌گذارند و با جزئیات بیشتر در بولتن‌های امنیتی Qualcomm AMSS نوامبر 2015، آگوست 2016، سپتامبر 2016 و اکتبر 2016 توضیح داده شده‌اند.

CVE منابع شدت* دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8438 A-31624565** بحرانی هیچ یک*** کوالکام داخلی
CVE-2016-8442 A-31625910** بحرانی هیچ یک*** کوالکام داخلی
CVE-2016-8443 A-32576499** بحرانی هیچ یک*** کوالکام داخلی
CVE-2016-8437 A-31623057** بالا هیچ یک*** کوالکام داخلی
CVE-2016-8439 A-31625204** بالا هیچ یک*** کوالکام داخلی
CVE-2016-8440 A-31625306** بالا هیچ یک*** کوالکام داخلی
CVE-2016-8441 A-31625904** بالا هیچ یک*** کوالکام داخلی
CVE-2016-8398 A-31548486** بالا Nexus 5X، Nexus 6، Nexus 6P، Android One کوالکام داخلی
CVE-2016-8459 A-32577972** بالا هیچ یک*** کوالکام داخلی
CVE-2016-5080 A-31115235** در حد متوسط Nexus 5X کوالکام داخلی

* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.

** پچ مربوط به این مشکل در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

*** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در دوربین کوالکام

افزایش آسیب پذیری امتیاز در دوربین کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8412 الف-31225246
QC-CR#1071891
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 26 اوت 2016
CVE-2016-8444 A-31243641*
QC-CR#1074310
بالا Nexus 5X، Nexus 6، Nexus 6P 26 اوت 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در اجزای MediaTek

افزایش آسیب پذیری امتیاز در اجزای MediaTek، از جمله درایور حرارتی و درایور ویدئو، می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8445 A-31747590*
MT-ALPS02968983
بالا هیچ یک** 25 سپتامبر 2016
CVE-2016-8446 A-31747749*
MT-ALPS02968909
بالا هیچ یک** 25 سپتامبر 2016
CVE-2016-8447 A-31749463*
MT-ALPS02968886
بالا هیچ یک** 25 سپتامبر 2016
CVE-2016-8448 A-31791148*
MT-ALPS02982181
بالا هیچ یک** 28 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8415 الف-31750554
QC-CR#1079596
بالا Nexus 5X، Pixel، Pixel XL 26 سپتامبر 2016

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی NVIDIA

افزایش آسیب پذیری امتیاز در درایور NVIDIA GPU می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8449 A-31798848*
N-CVE-2016-8449
بالا Nexus 9 28 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور صدای کوالکام

افزایش آسیب پذیری امتیاز در درایور صدای Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8450 الف-32450563
QC-CR#880388
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One 13 اکتبر 2016

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8451 A-32178033* بالا هیچ یک** 13 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در زیرسیستم امنیت هسته

افزایش آسیب پذیری امتیاز در زیرسیستم امنیتی هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-7042 الف-32178986
هسته بالادست
بالا پیکسل سی 14 اکتبر 2016

افزایش آسیب پذیری امتیاز در زیر سیستم عملکرد هسته

افزایش آسیب پذیری امتیاز در زیرسیستم عملکرد هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0403 A-32402548* بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player، Pixel، Pixel XL 25 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در زیرسیستم صدای کرنل

افزایش آسیب پذیری امتیاز در زیرسیستم صدای هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0404 A-32510733* بالا Nexus 5X، Nexus 6P، Nexus 9، Pixel C، Nexus Player، Pixel، Pixel XL 27 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8452 الف-32506396
QC-CR#1050323
بالا Nexus 5X، Android One، Pixel، Pixel XL 28 اکتبر 2016

افزایش آسیب پذیری امتیاز در درایور رادیویی کوالکام

افزایش آسیب پذیری امتیاز در درایور رادیویی Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-5345 الف-32639452
QC-CR#1079713
بالا اندروید وان 3 نوامبر 2016

افزایش آسیب پذیری امتیاز در زیرسیستم پروفایل سازی هسته

افزایش آسیب‌پذیری امتیاز در زیرسیستم پروفایل هسته می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-9754 الف-32659848
هسته بالادست
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel C، Nexus Player 4 نوامبر 2016

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8453 A-24739315*
B-RB#73392
بالا Nexus 6 گوگل داخلی
CVE-2016-8454 A-32174590*
B-RB#107142
بالا Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player 14 اکتبر 2016
CVE-2016-8455 A-32219121*
B-RB#106311
بالا Nexus 6P 15 اکتبر 2016
CVE-2016-8456 A-32219255*
B-RB#105580
بالا Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player 15 اکتبر 2016
CVE-2016-8457 A-32219453*
B-RB#106116
بالا Nexus 6، Nexus 6P، Nexus 9، Pixel C 15 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8458 A-31968442* بالا Nexus 5X، Nexus 6P، Nexus 9، Android One، Pixel، Pixel XL گوگل داخلی

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب‌پذیری افشای اطلاعات در درایور ویدیوی NVIDIA

یک آسیب‌پذیری افشای اطلاعات در درایور ویدیوی NVIDIA می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
بالا Nexus 9 21 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در بوت لودر

یک آسیب‌پذیری افشای اطلاعات در بوت‌لودر می‌تواند مهاجم محلی را قادر به دسترسی به داده‌های خارج از سطح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8461 A-32369621* بالا Nexus 9، Pixel، Pixel XL 21 اکتبر 2016
CVE-2016-8462 A-32510383* بالا پیکسل، پیکسل XL 27 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری انکار سرویس در سیستم فایل Qualcomm FUSE

آسیب پذیری انکار سرویس در سیستم فایل Qualcomm FUSE می تواند یک مهاجم راه دور را قادر سازد تا از یک فایل ساخته شده ویژه برای هنگ کردن یا راه اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8463 A-30786860
QC-CR#586855
بالا هیچ یک* 3 ژانویه 2014

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری انکار سرویس در بوت لودر

آسیب‌پذیری انکار سرویس در بوت لودر می‌تواند مهاجم را قادر به انکار دائمی سرویس محلی کند که ممکن است برای تعمیر دستگاه نیاز به reflash کردن مجدد سیستم عامل داشته باشد. این موضوع به دلیل امکان انکار دائمی سرویس محلی به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8467 A-30308784* بالا Nexus 6، Nexus 6P 29 ژوئن 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و با پیکربندی‌های پلتفرم فعلی کاهش می‌یابد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8464 A-29000183*
B-RB#106314
در حد متوسط Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player 26 مه 2016
CVE-2016-8466 A-31822524*
B-RB#105268
در حد متوسط Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player 28 سپتامبر 2016
CVE-2016-8465 A-32474971*
B-RB#106053
در حد متوسط Nexus 6، Nexus 6P، Nexus 9، Pixel C، Nexus Player 27 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در Binder

افزایش آسیب پذیری امتیاز در Binder می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و با پیکربندی‌های پلتفرم فعلی کاهش می‌یابد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8468 A-32394425* در حد متوسط Pixel C، Pixel، Pixel XL گوگل داخلی

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور دوربین NVIDIA

یک آسیب‌پذیری افشای اطلاعات در درایور دوربین می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
در حد متوسط Nexus 9 7 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور مدیاتک

یک آسیب‌پذیری افشای اطلاعات در درایور MediaTek می‌تواند یک برنامه مخرب محلی را قادر سازد تا به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8470 A-31528889*
MT-ALPS02961395
در حد متوسط هیچ یک** 15 سپتامبر 2016
CVE-2016-8471 A-31528890*
MT-ALPS02961380
در حد متوسط هیچ یک** 15 سپتامبر 2016
CVE-2016-8472 A-31531758*
MT-ALPS02961384
در حد متوسط هیچ یک** 15 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری افشای اطلاعات در درایور STMicroelectronics

یک آسیب‌پذیری افشای اطلاعات در درایور STMicroelectronics می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8473 A-31795790* در حد متوسط Nexus 5X، Nexus 6P 28 سپتامبر 2016
CVE-2016-8474 A-31799972* در حد متوسط Nexus 5X، Nexus 6P 28 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در پردازشگر پست صوتی Qualcomm

یک آسیب‌پذیری افشای اطلاعات در پردازشگر پست صوتی Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0399 A-32588756 [ 2 ] در حد متوسط همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 18 اکتبر 2016
CVE-2017-0400 A-32438598 [ 2 ] در حد متوسط همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 25 اکتبر 2016
CVE-2017-0401 الف-32588016 در حد متوسط همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 26 اکتبر 2016
CVE-2017-0402 A-32588352 [ 2 ] در حد متوسط همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 25 اکتبر 2016

آسیب پذیری افشای اطلاعات در درایور ورودی HTC

یک آسیب‌پذیری افشای اطلاعات در درایور ورودی HTC می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8475 A-32591129* در حد متوسط پیکسل، پیکسل XL 30 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری انکار سرویس در سیستم فایل هسته

آسیب‌پذیری انکار سرویس در سیستم فایل هسته می‌تواند یک برنامه مخرب محلی را قادر سازد تا دستگاه را قطع یا راه‌اندازی مجدد کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا یک انکار موقت سرویس است که برای رفع آن نیاز به بازنشانی کارخانه ای دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2014-9420 الف-32477499
هسته بالادست
در حد متوسط پیکسل سی 25 دسامبر 2014

پرسش ها و پاسخ های متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی Pixel و Nexus را بخوانید.

  • سطوح وصله امنیتی 01/01/2017 یا بعد از آن همه مسائل مرتبط با سطح وصله امنیتی 01/01/2017 را برطرف می‌کند.
  • سطوح وصله امنیتی 05/01/2017 یا جدیدتر، تمام مسائل مرتبط با سطح وصله امنیتی 05/01/2017 و تمام سطوح وصله قبلی را برطرف می‌کند.

سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:

  • [ro.build.version.security_patch]:[01/01/2017]
  • [ro.build.version.security_patch]:[05/01/2017]

2. چرا این بولتن دارای دو سطح وصله امنیتی است؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.

  • دستگاه‌هایی که از سطح وصله امنیتی 1 ژانویه 2017 استفاده می‌کنند باید شامل تمام مشکلات مرتبط با آن سطح وصله امنیتی، و همچنین رفع تمام مشکلات گزارش‌شده در بولتن‌های امنیتی قبلی باشند.
  • دستگاه‌هایی که از سطح وصله امنیتی 5 ژانویه 2017 یا جدیدتر استفاده می‌کنند، باید همه وصله‌های قابل‌اجرا در این بولتن‌های امنیتی (و قبلی) را شامل شوند.

شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.

3. چگونه می توانم تشخیص دهم که کدام دستگاه های Google تحت تأثیر هر مشکلی هستند؟

در بخش‌های جزئیات آسیب‌پذیری امنیتی ۲۰۱۷-۰۱-۰۱ و ۲۰۱۷-۰۱-۰۵ ، هر جدول دارای یک ستون دستگاه‌های Google به‌روزرسانی شده است که طیف وسیعی از دستگاه‌های آسیب‌دیده Google را پوشش می‌دهد که برای هر مشکل به‌روزرسانی شده‌اند. این ستون چند گزینه دارد:

  • همه دستگاه‌های Google : اگر مشکلی روی دستگاه‌های All و Pixel تأثیر بگذارد، جدول «همه» را در ستون دستگاه‌های به‌روزرسانی‌شده Google خواهد داشت. «همه» دستگاه‌های پشتیبانی‌شده زیر را در بر می‌گیرد: Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel C، Pixel، و Pixel XL.
  • برخی از دستگاه‌های Google : اگر مشکلی بر همه دستگاه‌های Google تأثیر نمی‌گذارد، دستگاه‌های Google آسیب‌دیده در ستون دستگاه‌های Google به‌روزرسانی شده فهرست می‌شوند.
  • هیچ دستگاه Google : اگر هیچ دستگاه Google دارای آخرین نسخه موجود Android تحت تأثیر این مشکل قرار نگیرد، جدول «هیچ‌کدام» در ستون دستگاه‌های به‌روزشده Google خواهد داشت.

4. ورودی های ستون مراجع به چه چیزی نگاشته می شوند؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. این پیشوندها به صورت زیر ترسیم می شوند:

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

تجدید نظرها

  • 03 ژانویه 2017: بولتن منتشر شد.
  • 04 ژانویه 2017: بولتن برای شامل پیوندهای AOSP اصلاح شد.
  • 05 ژانویه 2017: شماره نسخه AOSP از 7.1 تا 7.1.1 مشخص شد.
  • 12 ژانویه 2017: ورودی تکراری برای CVE-2016-8467 حذف شد.
  • 24 ژانویه 2017: توضیحات و شدت به روز شده برای CVE-2017-0381.
  • 2 فوریه 2017: به روز شده CVE-2017-0389 با پیوند پچ اضافی.