نشرة أمان Android — فبراير 2017

تم النشر في 06 فبراير 2017 | تم التحديث في 8 فبراير 2017

تحتوي نشرة أمان Android على تفاصيل الثغرات الأمنية التي تؤثر على أجهزة Android. وإلى جانب النشرة، قمنا بإصدار تحديث أمني لأجهزة Google من خلال التحديث عبر الهواء (OTA). تم أيضًا إصدار صور البرامج الثابتة لجهاز Google على موقع Google Developer . تتناول مستويات تصحيح الأمان بتاريخ 05 فبراير 2017 أو الإصدارات الأحدث جميع هذه المشكلات. راجع جدول تحديث Pixel وNexus لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز.

تم إخطار الشركاء بالمشكلات الموضحة في النشرة بتاريخ 03 يناير 2017 أو قبل ذلك. تم إصدار تصحيحات التعليمات البرمجية المصدر لهذه المشكلات في مستودع Android Open Source Project (AOSP) وتم ربطها من هذه النشرة. تتضمن هذه النشرة أيضًا روابط لتصحيحات خارج AOSP.

أخطر هذه المشكلات هو وجود ثغرة أمنية خطيرة يمكنها تمكين تنفيذ التعليمات البرمجية عن بعد على جهاز متأثر من خلال طرق متعددة مثل البريد الإلكتروني وتصفح الويب ورسائل الوسائط المتعددة عند معالجة ملفات الوسائط. يعتمد تقييم الخطورة على التأثير الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، بافتراض أن عمليات تخفيف النظام الأساسي والخدمة معطلة لأغراض التطوير أو إذا تم تجاوزها بنجاح.

لم تصلنا أي تقارير عن استغلال العملاء النشطين أو إساءة استخدام هذه المشكلات التي تم الإبلاغ عنها حديثًا. راجع قسم عمليات تخفيف مشكلات خدمة Android وGoogle للحصول على تفاصيل حول حماية النظام الأساسي لأمان Android وعمليات حماية الخدمة مثل SafetyNet ، التي تعمل على تحسين أمان النظام الأساسي لنظام Android.

نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.

الإعلانات

  • تحتوي هذه النشرة على سلسلتين لمستوى تصحيح الأمان لتزويد شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. راجع الأسئلة والأجوبة الشائعة للحصول على معلومات إضافية:
    • 01/02/2017 : سلسلة مستوى تصحيح الأمان الجزئي. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة كافة المشكلات المرتبطة بـ 01-02-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
    • 05/02/2017 : إكمال سلسلة مستوى تصحيح الأمان. تشير سلسلة مستوى تصحيح الأمان هذه إلى أنه تمت معالجة كافة المشكلات المرتبطة بـ 01-02-2017 و05-02-2017 (وجميع سلاسل مستوى تصحيح الأمان السابقة).
  • ستتلقى أجهزة Google المدعومة تحديثًا واحدًا عبر الهواء بمستوى التصحيح الأمني ​​بتاريخ 05 فبراير 2017.

عمليات تخفيف خدمات Android وGoogle

هذا ملخص لعمليات التخفيف التي يوفرها النظام الأساسي لأمان Android وعمليات حماية الخدمة، مثل SafetyNet. تعمل هذه الإمكانات على تقليل احتمالية استغلال الثغرات الأمنية بنجاح على نظام Android.

  • أصبح استغلال العديد من المشكلات على Android أكثر صعوبة بسبب التحسينات في الإصدارات الأحدث من نظام Android الأساسي. نحن نشجع جميع المستخدمين على التحديث إلى أحدث إصدار من Android حيثما أمكن ذلك.
  • يقوم فريق Android Security بمراقبة إساءة الاستخدام بشكل نشط من خلال Verify Apps وSafetyNet ، المصممين لتحذير المستخدمين من التطبيقات التي قد تكون ضارة . يتم تمكين التحقق من التطبيقات افتراضيًا على الأجهزة المزودة بخدمات Google Mobile Services وهو مهم بشكل خاص للمستخدمين الذين يقومون بتثبيت التطبيقات من خارج Google Play. أدوات تجذير الأجهزة محظورة في Google Play، ولكن Verify Apps تحذر المستخدمين عند محاولتهم تثبيت تطبيق تجذير تم اكتشافه — بغض النظر عن مصدره. بالإضافة إلى ذلك، تحاول ميزة التحقق من التطبيقات تحديد وحظر تثبيت التطبيقات الضارة المعروفة التي تستغل ثغرة أمنية في تصعيد الامتيازات. إذا تم تثبيت هذا التطبيق بالفعل، فسوف يقوم Verify Apps بإعلام المستخدم ومحاولة إزالة التطبيق المكتشف.
  • حسب الاقتضاء، لا تقوم تطبيقات Google Hangouts وMessenger بتمرير الوسائط تلقائيًا إلى عمليات مثل Mediaserver.

شكر وتقدير

ونود أن نشكر هؤلاء الباحثين على مساهماتهم:

كما نود أن نشكر السادة التالية أسماؤهم على مساهمتهم في هذه النشرة:

  • Pengfei Ding (丁鹏飞)، Chenfu Bao (包沉浮)، وLenx Wei (韦韬) من Baidu X-Lab (百度安全实验室)

01-02-2017 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 01-02-2017. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Surfaceflinger

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Surfaceflinger إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملفات الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Surfaceflinger.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0405 أ-31960359 شديد الأهمية الجميع 7.0، 7.1.1 4 أكتوبر 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في Mediaserver إلى تمكين المهاجم باستخدام ملف معد خصيصًا للتسبب في تلف الذاكرة أثناء معالجة ملف الوسائط والبيانات. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بُعد في سياق عملية Mediaserver.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0406 ا-32915871 [ 2 ] شديد الأهمية الجميع 6.0، 6.0.1، 7.0، 7.1.1 14 نوفمبر 2016
CVE-2017-0407 أ-32873375 شديد الأهمية الجميع 6.0، 6.0.1، 7.0، 7.1.1 12 نوفمبر 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libgdx

يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libgdx إلى تمكين المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في تطبيق يستخدم هذه المكتبة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0408 أ-32769670 عالي الجميع 7.1.1 9 نوفمبر 2016

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libstagefright

يمكن أن تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في libstagefright إلى تمكين المهاجم باستخدام ملف معد خصيصًا لتنفيذ تعليمات برمجية عشوائية في سياق عملية غير مميزة. تم تصنيف هذه المشكلة على أنها عالية نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في تطبيق يستخدم هذه المكتبة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0409 أ-31999646 عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية

رفع ثغرة الامتياز في Java.Net

قد يؤدي رفع الامتيازات في مكتبة Java.Net إلى تمكين محتوى الويب الضار من إعادة توجيه المستخدم إلى موقع ويب آخر دون إذن صريح. تم تصنيف هذه المشكلة على أنها عالية لأنها عبارة عن تجاوز عن بعد لمتطلبات تفاعل المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2016-5552 أ-31858037 عالي الجميع 7.0، 7.1.1 30 سبتمبر 2016

رفع مستوى الضعف في الامتيازات في Framework APIs

قد تؤدي زيادة ثغرة الامتيازات في واجهات برمجة تطبيقات Framework إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0410 أ-31929765 عالي الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 2 أكتوبر 2016
CVE-2017-0411 ا-33042690 [ 2 ] عالي الجميع 7.0، 7.1.1 21 نوفمبر 2016
CVE-2017-0412 ا-33039926 [ 2 ] عالي الجميع 7.0، 7.1.1 21 نوفمبر 2016

رفع ثغرة الامتياز في Mediaserver

قد تؤدي زيادة ثغرة الامتيازات في Mediaserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0415 أ-32706020 عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1 4 نوفمبر 2016

رفع ثغرة الامتياز في Audioserver

قد تؤدي زيادة ثغرة الامتيازات في Audioserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول المحلي إلى الإمكانات المتقدمة، والتي لا يمكن عادةً الوصول إليها بواسطة تطبيق جهة خارجية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0416 ا-32886609 [ 2 ] عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية
CVE-2017-0417 أ-32705438 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 7 نوفمبر 2016
CVE-2017-0418 ا-32703959 [ 2 ] عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 7 نوفمبر 2016
CVE-2017-0419 أ-32220769 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 15 أكتوبر 2016

ثغرة الكشف عن المعلومات في بريد AOSP

قد تؤدي ثغرة الكشف عن المعلومات في AOSP Mail إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0420 أ-32615212 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 12 سبتمبر 2016

ثغرة أمنية في الكشف عن المعلومات في AOSP Messaging

يمكن أن تؤدي ثغرة الكشف عن المعلومات في AOSP Messaging إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0413 أ-32161610 عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1 13 أكتوبر 2016
CVE-2017-0414 أ-32807795 عالي الجميع 6.0، 6.0.1، 7.0، 7.1.1 10 نوفمبر 2016

ثغرة أمنية في الكشف عن المعلومات في Framework APIs

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في Framework APIs إلى تمكين تطبيق ضار محلي من تجاوز إجراءات حماية نظام التشغيل التي تعزل بيانات التطبيق عن التطبيقات الأخرى. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات التي لا يستطيع التطبيق الوصول إليها.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0421 أ-32555637 عالي الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 جوجل الداخلية

الحرمان من ثغرة الخدمة في Bionic DNS

قد تؤدي ثغرة رفض الخدمة في Bionic DNS إلى تمكين المهاجم عن بعد من استخدام حزمة شبكة مصممة خصيصًا للتسبب في تعليق الجهاز أو إعادة تشغيله. تم تصنيف هذه المشكلة على أنها عالية نظرًا لاحتمالية رفض الخدمة عن بعد.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0422 أ-32322088 عالي الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 20 أكتوبر 2016

رفع ثغرة الامتياز في البلوتوث

قد تؤدي زيادة ثغرة الامتياز في تقنية Bluetooth إلى تمكين المهاجم القريب من إدارة الوصول إلى المستندات الموجودة على الجهاز. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً استغلال ثغرة أمنية منفصلة في حزمة Bluetooth.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0423 أ-32612586 معتدل الجميع 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 2 نوفمبر 2016

ثغرة أمنية في الكشف عن المعلومات في AOSP Messaging

يمكن أن تؤدي ثغرة الكشف عن المعلومات في AOSP Messaging إلى تمكين مهاجم عن بعد باستخدام ملف معد خصيصًا للوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا عامًا للدفاع المتعمق على مستوى المستخدم أو استغلال تقنية التخفيف في عملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0424 أ-32322450 معتدل الجميع 6.0، 6.0.1، 7.0، 7.1.1 20 أكتوبر 2016

ثغرة أمنية في الكشف عن المعلومات في Audioserver

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في Audioserver إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0425 أ-32720785 معتدل الجميع 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 7 نوفمبر 2016

ثغرة الكشف عن المعلومات في نظام الملفات

قد تؤدي ثغرة أمنية في الكشف عن المعلومات في نظام الملفات إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون إذن.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تحديث إصدارات AOSP تاريخ الإبلاغ
CVE-2017-0426 ا-32799236 [ 2 ] معتدل الجميع 7.0، 7.1.1 جوجل الداخلية

05-02-2017 مستوى تصحيح الأمان — تفاصيل الثغرات الأمنية

في الأقسام أدناه، نقدم تفاصيل لكل من الثغرات الأمنية التي تنطبق على مستوى التصحيح 2017-02-05. يوجد وصف للمشكلة، وأساس خطورتها، وجدول يتضمن CVE، والمراجع المرتبطة، وخطورة المشكلة، وأجهزة Google المحدثة، وإصدارات AOSP المحدثة (حيثما ينطبق ذلك)، وتاريخ الإبلاغ. عندما يكون ذلك متاحًا، سنقوم بربط التغيير العام الذي عالج المشكلة بمعرف الخطأ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد، يتم ربط المراجع الإضافية بالأرقام التي تتبع معرف الخطأ.

ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد في برنامج تشغيل التشفير Qualcomm

قد تؤدي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في برنامج تشغيل Qualcomm crypto إلى تمكين مهاجم عن بُعد من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لإمكانية تنفيذ التعليمات البرمجية عن بعد في سياق النواة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8418 أ-32652894
مراقبة الجودة-CR#1077457
شديد الأهمية لا أحد* 10 أكتوبر 2016

* لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في نظام ملفات kernel

قد تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0427 أ-31495866* شديد الأهمية نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL 13 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل NVIDIA GPU

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل NVIDIA GPU إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0428 أ-32401526*
N-CVE-2017-0428
شديد الأهمية نيكزس 9 25 أكتوبر 2016
CVE-2017-0429 أ-32636619*
N-CVE-2017-0429
شديد الأهمية نيكزس 9 3 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في النظام الفرعي لشبكات kernel

قد تؤدي زيادة ثغرة الامتيازات في النظام الفرعي لشبكة kernel إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2014-9914 أ-32882659
نواة المنبع
شديد الأهمية نيكزس 6، نيكزس بلاير 9 نوفمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها خطيرة نظرًا لاحتمال حدوث اختراق محلي دائم للجهاز، الأمر الذي قد يتطلب إعادة تحميل نظام التشغيل لإصلاح الجهاز.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0430 أ-32838767*
ب-رب #107459
شديد الأهمية نيكزس 6، نيكزس 6P، نيكزس 9، بكسل C، نيكزس بلاير جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرات أمنية في مكونات كوالكوم

تؤثر الثغرة الأمنية التالية على مكونات Qualcomm ويتم وصفها بمزيد من التفصيل في نشرة الأمان الخاصة بـ Qualcomm AMSS لشهر سبتمبر 2016.

مكافحة التطرف العنيف مراجع خطورة* أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0431 أ-32573899** شديد الأهمية لا أحد*** كوالكوم الداخلية

* تم تحديد تصنيف خطورة هذه الثغرات الأمنية من قبل البائع.

** التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

*** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتوفرة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل MediaTek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل MediaTek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0432 أ-28332719*
م-ALPS02708925
عالي لا أحد** 21 أبريل 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

** لا تتأثر أجهزة Google المدعومة التي تعمل بنظام التشغيل Android 7.0 أو الإصدارات الأحدث والتي قامت بتثبيت كافة التحديثات المتاحة بهذه الثغرة الأمنية.

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس Synaptics إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق مجموعة شرائح شاشة اللمس. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0433 أ-31913571* عالي نيكزس 6P، نيكزس 9، أندرويد وان، بكسل، بكسل XL 8 سبتمبر 2016
CVE-2017-0434 أ-33001936* عالي بكسل، بكسل XL 18 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Secure Execution Environment Communicator

قد تؤدي زيادة ثغرة الامتياز في محرك الأقراص Qualcomm Secure Execution Environment Communicator إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8480 أ-31804432
مراقبة الجودة-CR#1086186 [ 2 ]
عالي نيكزس 5X، نيكزس 6، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 28 سبتمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8481 أ-31906415*
مراقبة الجودة-CR#1078000
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 1 أكتوبر 2016
CVE-2017-0435 أ-31906657*
مراقبة الجودة-CR#1078000
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 1 أكتوبر 2016
CVE-2017-0436 أ-32624661*
مراقبة الجودة-CR#1078000
عالي نيكزس 5X، نيكزس 6P، بكسل، بكسل XL 2 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Qualcomm Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0437 أ-32402310
مراقبة الجودة-CR#1092497
عالي نيكزس 5X، بكسل، بكسل XL 25 أكتوبر 2016
CVE-2017-0438 أ-32402604
مراقبة الجودة-CR#1092497
عالي نيكزس 5X، بكسل، بكسل XL 25 أكتوبر 2016
CVE-2017-0439 أ-32450647
مراقبة الجودة-CR#1092059
عالي نيكزس 5X، بكسل، بكسل XL 25 أكتوبر 2016
CVE-2016-8419 أ-32454494
مراقبة الجودة-CR#1087209
عالي نيكزس 5X، بكسل، بكسل XL 26 أكتوبر 2016
CVE-2016-8420 أ-32451171
مراقبة الجودة-CR#1087807
عالي نيكزس 5X، بكسل، بكسل XL 26 أكتوبر 2016
CVE-2016-8421 أ-32451104
مراقبة الجودة-CR#1087797
عالي نيكزس 5X، بكسل، بكسل XL 26 أكتوبر 2016
CVE-2017-0440 أ-33252788
مراقبة الجودة-CR#1095770
عالي نيكزس 5X، بكسل، بكسل XL 11 نوفمبر 2016
CVE-2017-0441 أ-32872662
مراقبة الجودة-CR#1095009
عالي نيكزس 5X، بكسل، بكسل XL 11 نوفمبر 2016
CVE-2017-0442 أ-32871330
مراقبة الجودة-CR#1092497
عالي نيكزس 5X، بكسل، بكسل XL 13 نوفمبر 2016
CVE-2017-0443 أ-32877494
مراقبة الجودة-CR#1092497
عالي نيكزس 5X، بكسل، بكسل XL 13 نوفمبر 2016
CVE-2016-8476 أ-32879283
مراقبة الجودة-CR#1091940
عالي نيكزس 5X، بكسل، بكسل XL 14 نوفمبر 2016

رفع ثغرة الامتياز في برنامج تشغيل الصوت Realtek

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل الصوت Realtek إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0444 أ-32705232* عالي نيكزس 9 7 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل شاشة اللمس HTC

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل شاشة اللمس HTC إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها عالية لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0445 أ-32769717* عالي بكسل، بكسل XL 9 نوفمبر 2016
CVE-2017-0446 أ-32917445* عالي بكسل، بكسل XL 15 نوفمبر 2016
CVE-2017-0447 أ-32919560* عالي بكسل، بكسل XL 15 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الفيديو NVIDIA إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها عالية لأنه يمكن استخدامها للوصول إلى البيانات الحساسة دون الحصول على إذن صريح من المستخدم.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0448 أ-32721029*
N-CVE-2017-0448
عالي نيكزس 9 7 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi

قد تؤدي زيادة ثغرة الامتياز في برنامج تشغيل Broadcom Wi-Fi إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق kernel. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة ويتم تخفيفها من خلال تكوينات النظام الأساسي الحالية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0449 أ-31707909*
ب-رب #32094
معتدل نيكزس 6، نيكزس 6P 23 سبتمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في Audioserver

قد تؤدي زيادة ثغرة الامتيازات في Audioserver إلى تمكين تطبيق ضار محلي من تنفيذ تعليمات برمجية عشوائية في سياق عملية مميزة. تم تصنيف هذه المشكلة على أنها متوسطة لأنه تم تخفيفها من خلال تكوينات النظام الأساسي الحالية.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0450 أ-32917432* معتدل نيكزس 9 15 نوفمبر 2016

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

رفع ثغرة الامتياز في نظام ملفات kernel

يمكن أن تؤدي زيادة ثغرة الامتيازات في نظام ملفات kernel إلى تمكين تطبيق ضار محلي من تجاوز وسائل الحماية التي تمنع تصعيد الامتيازات. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تمثل تجاوزًا عامًا للدفاع على مستوى المستخدم بشكل متعمق أو استغلال تقنية التخفيف.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-10044 أ-31711619* معتدل نيكزس 5X، نيكزس 6، نيكزس 6P، نيكزس 9، أندرويد وان، بكسل سي، نيكزس بلاير، بكسل، بكسل XL جوجل الداخلية

* التصحيح الخاص بهذه المشكلة غير متاح للعامة. التحديث موجود في أحدث برامج التشغيل الثنائية لأجهزة Nexus المتوفرة على موقع Google Developer .

ثغرة أمنية في الكشف عن المعلومات في برنامج Qualcomm Secure Execution Environment Communicator

يمكن أن تؤدي ثغرة الكشف عن المعلومات في Qualcomm Secure Execution Environment Communicator إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2016-8414 أ-31704078
مراقبة الجودة-CR#1076407
معتدل نيكزس 5X، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 23 سبتمبر 2016

ثغرة أمنية في الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm

قد تؤدي ثغرة الكشف عن المعلومات في برنامج تشغيل الصوت Qualcomm إلى تمكين تطبيق ضار محلي من الوصول إلى البيانات خارج مستويات الأذونات الخاصة به. تم تصنيف هذه المشكلة على أنها متوسطة لأنها تتطلب أولاً المساس بعملية مميزة.

مكافحة التطرف العنيف مراجع خطورة أجهزة جوجل المحدثة تاريخ الإبلاغ
CVE-2017-0451 أ-31796345
مراقبة الجودة-CR#1073129 [ 2 ]
معتدل نيكزس 5X، نيكزس 6P، أندرويد وان، بكسل، بكسل XL 27 سبتمبر 2016

الأسئلة والأجوبة الشائعة

يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي قد تم تحديثه لمعالجة هذه المشكلات؟

لمعرفة كيفية التحقق من مستوى التصحيح الأمني ​​للجهاز، اقرأ الإرشادات الموجودة في جدول تحديث Pixel وNexus .

  • تتناول مستويات تصحيح الأمان 01-02-2017 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 01-02-2017.
  • تتناول مستويات تصحيح الأمان 05-02-2017 أو الإصدارات الأحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 05-02-2017 وجميع مستويات التصحيح السابقة.

يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح على:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. لماذا تحتوي هذه النشرة على مستويين من التصحيح الأمني؟

تحتوي هذه النشرة على مستويين من التصحيح الأمني ​​بحيث يتمتع شركاء Android بالمرونة اللازمة لإصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة عبر جميع أجهزة Android بسرعة أكبر. ننصح شركاء Android بإصلاح جميع المشكلات الواردة في هذه النشرة واستخدام أحدث مستوى من التصحيح الأمني.

  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 1 فبراير 2017 كافة المشكلات المرتبطة بمستوى تصحيح الأمان هذا، بالإضافة إلى إصلاحات كافة المشكلات التي تم الإبلاغ عنها في نشرات الأمان السابقة.
  • يجب أن تتضمن الأجهزة التي تستخدم مستوى تصحيح الأمان بتاريخ 5 فبراير 2017 أو الأحدث جميع التصحيحات القابلة للتطبيق في هذه النشرة الأمنية (والسابقة).

يتم تشجيع الشركاء على تجميع الإصلاحات لجميع المشكلات التي يعالجونها في تحديث واحد.

3. كيف يمكنني تحديد أجهزة Google المتأثرة بكل مشكلة؟

في أقسام تفاصيل الثغرات الأمنية 01-02-2017 و05-02-2017 ، يحتوي كل جدول على عمود أجهزة Google المحدثة الذي يغطي نطاق أجهزة Google المتأثرة التي تم تحديثها لكل مشكلة. يحتوي هذا العمود على بعض الخيارات:

  • جميع أجهزة Google : إذا كانت هناك مشكلة تؤثر على الكل وأجهزة Pixel، فسيحتوي الجدول على "الكل" في عمود أجهزة Google المحدثة . يشمل "الكل" الأجهزة المدعومة التالية: Nexus 5X وNexus 6 وNexus 6P وNexus 9 وAndroid One وNexus Player وPixel C وPixel وPixel XL.
  • بعض أجهزة Google : إذا لم تؤثر المشكلة على جميع أجهزة Google، فسيتم إدراج أجهزة Google المتأثرة في عمود أجهزة Google المحدثة .
  • لا توجد أجهزة Google : إذا لم تتأثر أي أجهزة Google تعمل بنظام التشغيل Android 7.0 بالمشكلة، فسيحتوي الجدول على "لا شيء" في عمود أجهزة Google المحدثة .

4. ما الذي ترتبط به الإدخالات الموجودة في عمود المراجع؟

قد تحتوي الإدخالات الموجودة ضمن عمود "المراجع" في جدول تفاصيل الثغرات الأمنية على بادئة تحدد المؤسسة التي تنتمي إليها القيمة المرجعية. يتم تعيين هذه البادئات على النحو التالي:

بادئة مرجع
أ- معرف خطأ أندرويد
مراقبة الجودة- الرقم المرجعي لشركة كوالكوم
م- الرقم المرجعي لميديا ​​تيك
ن- الرقم المرجعي لـ NVIDIA
ب- الرقم المرجعي من برودكوم

التنقيحات

  • 06 فبراير 2017: نشر النشرة.
  • 08 فبراير 2017: تمت مراجعة النشرة لتشمل روابط AOSP.