بولتن امنیتی اندروید - مارس 2017

تاریخ انتشار 15 اسفند 1396 | به روز شده در 07 مارس 2017

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک به‌روزرسانی امنیتی برای دستگاه‌های Google از طریق به‌روزرسانی خارج از هوا (OTA) منتشر کرده‌ایم. تصاویر سفت‌افزار دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 مارس 2017 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه به‌روزرسانی Pixel و Nexus مراجعه کنید.

در 6 فوریه 2017 یا قبل از آن، شرکا از مسائل شرح داده شده در بولتن مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهره‌برداری از آسیب‌پذیری احتمالاً روی دستگاه آسیب‌دیده می‌گذارد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت های پلتفرم امنیتی اندروید و محافظت های خدماتی مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

  • این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطاف‌پذیری برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌ها را که در همه دستگاه‌های Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسش‌ها و پاسخ‌های رایج مراجعه کنید:
    • 01/03/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مشکلات مرتبط با 01/03/2017 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده‌اند.
    • 05/03/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان می‌دهد که تمام مسائل مربوط به 2017-03-01 و 2017-03-05 (و تمام رشته‌های سطح وصله امنیتی قبلی) برطرف شده است.
  • دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی OTA با سطح وصله امنیتی 05 مارس 2017 دریافت خواهند کرد.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های سرویس، مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامه‌های بالقوه مضر طراحی شده‌اند، به‌طور فعال نظارت بر سوء استفاده می‌کند. تأیید برنامه‌ها به‌طور پیش‌فرض در دستگاه‌های دارای سرویس‌های تلفن همراه Google فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش می‌کند تا نصب برنامه‌های مخرب شناخته‌شده‌ای را که از آسیب‌پذیری افزایش امتیاز سوءاستفاده می‌کنند، شناسایی و مسدود کند. اگر چنین برنامه‌ای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع می‌دهد و تلاش می‌کند تا برنامه شناسایی شده را حذف کند.
  • در صورت لزوم، برنامه‌های Google Hangouts و Messenger رسانه‌ها را به‌طور خودکار به فرآیندهایی مانند Mediaserver منتقل نمی‌کنند.

سپاسگزاریها

مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:

  • الکساندر پوتاپنکو از تیم Google Dynamic Tools: CVE-2017-0537
  • Baozeng Ding، Chengming Yang، Peng Xiao و Yang Song از گروه امنیتی موبایل علی بابا: CVE-2017-0506
  • Baozeng Ding، Ning You، Chengming Yang، Peng Xiao و Yang Song از گروه امنیتی موبایل علی بابا: CVE-2017-0463
  • بیلی لائو از امنیت اندروید: CVE-2017-0335، CVE-2017-0336، CVE-2017-0338، CVE-2017-0460
  • derrek ( @derrekr6 ): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
  • derrek ( @derrekr6 ) و اسکات بائر ( @ScottyBauer1 ): CVE-2017-0521
  • دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2017-0334، CVE-2017-0456، CVE-2017-0457، CVE-2017-0525
  • En He ( @heeeeen4x ) و بو لیو از تیم MS509 : CVE-2017-0490
  • Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-0502 CVE-2017-0524، CVE-2017-0529، CVE-2017-0536
  • هائو چن و گوانگ گونگ از تیم آلفا، Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
  • هیروکی یاماموتو و فانگ چن از Sony Mobile Communications Inc.: CVE-2017-0481
  • محققان IBM Security X-Force Sagi Kedmi و Roee Hay: CVE-2017-0510
  • Jianjun Dai ( @Jioun_dai ) از Qihoo 360 Skyeye Labs : CVE-2017-0478
  • Jianqiang Zhao ( @jianqiangzhao ) و pjf آزمایشگاه IceSword، Qihoo 360: CVE-2016-8416، CVE-2016-8478، CVE-2017-0458، CVE-2017-0459، CVE-2017-0459، CVE-2019، CVE-2016-2016 , CVE-2017-0533, CVE-2017-0534
  • Lubo Zhang ، Tong Lin ، Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2016-8479
  • ماکوتو اونوکی از گوگل: CVE-2017-0491
  • Mingjian Zhou ( @Mingjian_ZhouHanxiang Wen ، و Xuxian Jiang از تیم C0RE : CVE-2017-0479، CVE-2017-0480
  • ناتان کراندال ( @natecray ): CVE-2017-0535
  • ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا موتورز: CVE-2017-0306
  • پنگفی دینگ (丁鹏飞)، چنفو بائو (包沉浮)، لنکس وی (韦韬) از Baidu X-Lab (百度安全实验室): CVE-2016-8417
  • Qidan He (何淇丹) ( @flanker_hqd ) از KeenLab، Tencent: CVE-2017-0337، CVE-2017-0476
  • Qing Zhang از Qihoo 360 و Guangdong Bai از موسسه فناوری سنگاپور (SIT): CVE-2017-0496
  • Quhe و wanchouchou از Ant-Financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
  • صحرای ارتباطات امن در DarkMatter: CVE-2017-0528
  • سالل ( @chris_salls ) از تیم Shellphish Grill، UC Santa Barbara: CVE-2017-0505
  • اسکات بائر ( @ScottyBauer1 ): CVE-2017-0504, CVE-2017-0516
  • Sean Beaupre (beaups): CVE-2017-0455
  • Seven Shen ( @lingtongshen ) از Trend Micro: CVE-2017-0452
  • شینیچی ماتسوموتو از فوجیتسو: CVE-2017-0498
  • استفان مارکز از ByteRev : CVE-2017-0489
  • Svetoslav Ganov از گوگل: CVE-2017-0492
  • Tong Lin ، Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2017-0333
  • VEO ( @VYSEa ) تیم پاسخگویی به تهدیدات موبایل ، Trend Micro : CVE-2017-0466، CVE-2017-0467، CVE-2017-0468، CVE-2017-0469، CVE-2017-0470، CVE-2017-0466، CVE-2017-0467، CVE-2017-0472، CVE-2017-0473، CVE-2017-0482، CVE-2017-0484، CVE-2017-0485، CVE-2017-0486، CVE-2017-0487، CVE-49، CVE-2017-201 2017-0495
  • Wish Wu (吴潍浠 此彼) ( @wish_wu ) از Ant-Financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室): CVE-2017-04
  • یو پان تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
  • Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2017-0526، CVE-2017-0527
  • یوکی لو ( @nikos233ونکه دو ، داچنگ شائو ، مینگجیان ژو ( @Mingjian_Zhou )، و ژوکیان جیانگ از تیم C0RE : CVE-2017-0483
  • Zinuo Han ( weibo.com/ele7enxxh ) از مرکز پاسخگویی امنیتی چنگدو، Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497

سطح وصله امنیتی 01/03/2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۰۳-۰۳-۲۰۱۷ اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

آسیب پذیری اجرای کد از راه دور در OpenSSL و BoringSSL

یک آسیب‌پذیری اجرای کد از راه دور در OpenSSL و BoringSSL می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به ایجاد خرابی حافظه در طول پردازش فایل و داده کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب یک فرآیند ممتاز، به عنوان بحرانی رتبه بندی می شود.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2016-2182 A-32096880 بحرانی همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 5 اوت 2016

آسیب پذیری اجرای کد از راه دور در Mediaserver

یک آسیب‌پذیری اجرای کد از راه دور در Mediaserver می‌تواند مهاجم را با استفاده از یک فایل خاص ساخته شده قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده‌ها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0466 A-33139050 [ 2 ] بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1 25 نوامبر 2016
CVE-2017-0467 A-33250932 [ 2 ] بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1 30 نوامبر 2016
CVE-2017-0468 A-33351708 [ 2 ] بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1 5 دسامبر 2016
CVE-2017-0469 الف-33450635 بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1 8 دسامبر 2016
CVE-2017-0470 A-33818500 بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1 21 دسامبر 2016
CVE-2017-0471 الف-33816782 بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1 21 دسامبر 2016
CVE-2017-0472 A-33862021 بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1 23 دسامبر 2016
CVE-2017-0473 الف-33982658 بحرانی همه 6.0، 6.0.1، 7.0، 7.1.1 30 دسامبر 2016
CVE-2017-0474 الف-32589224 بحرانی همه 7.0، 7.1.1 گوگل داخلی

افزایش آسیب پذیری امتیاز در تأیید کننده بازیابی

افزایش آسیب پذیری امتیاز در تأیید کننده بازیابی می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0475 الف-31914369 بحرانی همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 2 اکتبر 2016

آسیب پذیری اجرای کد از راه دور در AOSP Messaging

یک آسیب‌پذیری اجرای کد از راه دور در AOSP Messaging می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر سازد تا حافظه را در طول فایل رسانه و پردازش داده‌ها خراب کند. این مسئله به دلیل امکان اجرای کد از راه دور در چارچوب یک فرآیند غیرمجاز، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0476 الف-33388925 بالا همه 6.0، 6.0.1، 7.0، 7.1.1 6 دسامبر 2016

آسیب پذیری اجرای کد از راه دور در libgdx

یک آسیب‌پذیری اجرای کد از راه دور در libgdx می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند. این موضوع به دلیل امکان اجرای کد از راه دور در برنامه ای که از این کتابخانه استفاده می کند، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0477 الف-33621647 بالا همه 7.1.1 14 دسامبر 2016

آسیب پذیری اجرای کد از راه دور در کتابخانه Framesequence

یک آسیب‌پذیری اجرای کد از راه دور در کتابخانه Framesequence می‌تواند مهاجم را با استفاده از یک فایل ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز کند. این مشکل به دلیل امکان اجرای کد از راه دور در برنامه ای که از کتابخانه Framesequence استفاده می کند، به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0478 الف-33718716 بالا همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 16 دسامبر 2016

افزایش آسیب پذیری امتیاز در NFC

افزایش آسیب پذیری امتیاز در NFC می تواند یک مهاجم نزدیک را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0481 الف-33434992 بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 6 نوامبر 2016

افزایش آسیب پذیری امتیاز در Audioserver

افزایش آسیب پذیری امتیاز در Audioserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0479 A-32707507 [ 2 ] بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 7 نوامبر 2016
CVE-2017-0480 A-32705429 [ 2 ] بالا همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 7 نوامبر 2016

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار سرویس از راه دور، با شدت بالا رتبه بندی می شود.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0482 A-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] بالا همه 6.0، 6.0.1، 7.0، 7.1.1 22 نوامبر 2016
CVE-2017-0483 A-33137046 [ 2 ] بالا همه 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 24 نوامبر 2016
CVE-2017-0484 A-33298089 [ 2 ] بالا همه 6.0، 6.0.1، 7.0، 7.1.1 1 دسامبر 2016
CVE-2017-0485 الف-33387820 بالا همه 6.0، 6.0.1، 7.0، 7.1.1 6 دسامبر 2016
CVE-2017-0486 الف-33621215 بالا همه 6.0، 6.0.1، 7.0، 7.1.1 14 دسامبر 2016
CVE-2017-0487 الف-33751193 بالا همه 6.0، 6.0.1، 7.0، 7.1.1 19 دسامبر 2016
CVE-2017-0488 الف-34097213 بالا همه 6.0، 6.0.1، 7.0، 7.1.1 گوگل داخلی

افزایش آسیب پذیری امتیاز در مدیریت مکان

افزایش آسیب‌پذیری امتیاز در Location Manager می‌تواند یک برنامه مخرب محلی را قادر سازد تا از حفاظت‌های سیستم‌عامل برای داده‌های مکان عبور کند. این مشکل به عنوان متوسط ​​رتبه بندی شده است زیرا می تواند برای تولید داده های نادرست استفاده شود.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0489 الف-33091107 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 20 نوامبر 2016

افزایش آسیب پذیری امتیاز در وای فای

افزایش آسیب پذیری امتیاز در وای فای می تواند یک برنامه مخرب محلی را قادر به حذف داده های کاربر کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از الزامات تعامل کاربر است که معمولاً به شروع کاربر یا اجازه کاربر نیاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0490 A-33178389 [ 2 ] [ 3 ] در حد متوسط همه 6.0، 6.0.1، 7.0، 7.1.1 25 نوامبر 2016

افزایش آسیب پذیری امتیاز در Package Manager

افزایش آسیب پذیری امتیاز در Package Manager می تواند یک برنامه مخرب محلی را قادر سازد تا از حذف نصب برنامه ها یا حذف مجوزها از برنامه ها توسط کاربران جلوگیری کند. این مشکل به‌عنوان «متوسط» رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از الزامات تعامل کاربر است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0491 الف-32553261 در حد متوسط همه 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 گوگل داخلی

افزایش آسیب پذیری امتیاز در رابط کاربری سیستم

افزایش آسیب پذیری امتیاز در رابط کاربری سیستم می تواند یک برنامه مخرب محلی را قادر سازد تا یک پوشش رابط کاربری ایجاد کند که کل صفحه را پوشش می دهد. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا یک دور زدن محلی از الزامات تعامل کاربر است که معمولاً به شروع کاربر یا اجازه کاربر نیاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0492 الف-30150688 در حد متوسط همه 7.1.1 گوگل داخلی

آسیب پذیری افشای اطلاعات در AOSP Messaging

یک آسیب‌پذیری افشای اطلاعات در پیام‌رسانی AOSP می‌تواند یک مهاجم راه دور را با استفاده از یک فایل ساخته‌شده خاص قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0494 الف-32764144 در حد متوسط همه 6.0، 6.0.1، 7.0، 7.1.1 9 نوامبر 2016

آسیب پذیری افشای اطلاعات در Mediaserver

یک آسیب‌پذیری افشای اطلاعات در Mediaserver می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی شده است زیرا می‌توان از آن برای دسترسی به داده‌های حساس بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0495 الف-33552073 در حد متوسط همه 6.0، 6.0.1، 7.0، 7.1.1 11 دسامبر 2016

آسیب پذیری انکار سرویس در Setup Wizard

آسیب پذیری انکار سرویس در Setup Wizard می تواند به یک برنامه مخرب محلی اجازه دهد تا به طور موقت دسترسی به دستگاه آسیب دیده را مسدود کند. این مشکل به عنوان متوسط ​​رتبه بندی شده است زیرا ممکن است برای تعمیر دستگاه نیاز به بازنشانی کارخانه ای داشته باشد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0496 A-31554152* در حد متوسط هیچ یک** 5.0.2، 5.1.1، 6.0، 6.0.1 14 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری برای دستگاه‌های Google موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری انکار سرویس در Mediaserver

آسیب‌پذیری انکار سرویس در Mediaserver می‌تواند مهاجم را قادر سازد تا از یک فایل ساخته‌شده خاص برای هنگ کردن یا راه‌اندازی مجدد دستگاه استفاده کند. این مشکل به عنوان متوسط ​​رتبه بندی شده است زیرا به پیکربندی دستگاه غیر معمول نیاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0497 A-33300701 در حد متوسط همه 7.0، 7.1.1 2 دسامبر 2016

آسیب پذیری انکار سرویس در Setup Wizard

آسیب‌پذیری انکار سرویس در Setup Wizard می‌تواند به مهاجم محلی اجازه دهد تا پس از بازنشانی کارخانه‌ای، به سیستم حساب Google نیاز داشته باشد. این مشکل به عنوان متوسط ​​رتبه بندی شده است زیرا ممکن است برای تعمیر دستگاه نیاز به بازنشانی کارخانه ای داشته باشد.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0498 A-30352311 [ 2 ] در حد متوسط همه 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 گوگل داخلی

آسیب پذیری انکار سرویس در Audioserver

آسیب‌پذیری انکار سرویس در Audioserver می‌تواند یک برنامه مخرب محلی را قادر سازد تا دستگاه را قطع یا راه‌اندازی مجدد کند. این موضوع به دلیل امکان انکار موقت سرویس به عنوان Low رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده نسخه های AOSP به روز شده تاریخ گزارش شده
CVE-2017-0499 الف-32095713 کم همه 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 11 اکتبر 2016

سطح وصله امنیتی 05/03/2017—جزئیات آسیب پذیری

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله ۲۰۱۷-۰۳-۰۵ اعمال می‌شوند، ارائه می‌کنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاه‌های به‌روزرسانی‌شده Google، نسخه‌های به‌روزرسانی‌شده AOSP (در صورت لزوم) و تاریخ گزارش‌شده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

افزایش آسیب پذیری امتیاز در اجزای MediaTek

افزایش آسیب‌پذیری امتیاز در اجزای MediaTek، از جمله درایور M4U، درایور صدا، درایور صفحه لمسی، درایور GPU و درایور Command Queue، می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0500 A-28429685*
M-ALPS02710006
بحرانی هیچ یک** 27 آوریل 2016
CVE-2017-0501 A-28430015*
M-ALPS02708983
بحرانی هیچ یک** 27 آوریل 2016
CVE-2017-0502 A-28430164*
M-ALPS02710027
بحرانی هیچ یک** 27 آوریل 2016
CVE-2017-0503 A-28449045*
M-ALPS02710075
بحرانی هیچ یک** 28 آوریل 2016
CVE-2017-0504 A-30074628*
M-ALPS02829371
بحرانی هیچ یک** 9 جولای 2016
CVE-2017-0505 A-31822282*
M-ALPS02992041
بحرانی هیچ یک** 28 سپتامبر 2016
CVE-2017-0506 A-32276718*
M-ALPS03006904
بحرانی هیچ یک** 18 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی NVIDIA

افزایش آسیب پذیری امتیاز در درایور NVIDIA GPU می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0337 A-31992762*
N-CVE-2017-0337
بحرانی پیکسل سی 6 اکتبر 2016
CVE-2017-0338 A-33057977*
N-CVE-2017-0338
بحرانی پیکسل سی 21 نوامبر 2016
CVE-2017-0333 A-33899363*
N-CVE-2017-0333
بحرانی پیکسل سی 25 دسامبر 2016
CVE-2017-0306 A-34132950*
N-CVE-2017-0306
بحرانی Nexus 9 6 ژانویه 2017
CVE-2017-0335 A-33043375*
N-CVE-2017-0335
بحرانی پیکسل سی گوگل داخلی

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در زیرسیستم هسته ION

افزایش آسیب پذیری امتیاز در زیرسیستم هسته ION می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0507 A-31992382* بحرانی Android One، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Pixel، Pixel XL 6 اکتبر 2016
CVE-2017-0508 A-33940449* بحرانی پیکسل سی 28 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Broadcom می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0509 A-32124445*
B-RB#110688
بحرانی هیچ یک** 12 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب‌پذیری امتیاز در دیباگر FIQ هسته

افزایش آسیب پذیری امتیاز در دیباگر FIQ هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در بافت هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0510 A-32402555* بحرانی Nexus 9 25 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی کوالکام

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8479 A-31824853*
QC-CR#1093687
بحرانی Android One، Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL 29 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-9806 الف-33393474
هسته بالادست
بحرانی Pixel C، Pixel، Pixel XL 4 دسامبر 2016
CVE-2016-10200 الف-33753815
هسته بالادست
بحرانی Nexus 5X، Nexus 6P، Pixel، Pixel XL 19 دسامبر 2016

آسیب پذیری در اجزای کوالکام

آسیب‌پذیری زیر بر اجزای Qualcomm تأثیر می‌گذارد و در بولتن امنیتی Qualcomm AMSS سپتامبر 2016 با جزئیات بیشتر توضیح داده شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8484 A-28823575** بحرانی هیچ یک*** کوالکام داخلی
CVE-2016-8485 A-28823681** بحرانی هیچ یک*** کوالکام داخلی
CVE-2016-8486 A-28823691** بحرانی هیچ یک*** کوالکام داخلی
CVE-2016-8487 A-28823724** بحرانی هیچ یک*** کوالکام داخلی
CVE-2016-8488 A-31625756** بحرانی هیچ یک*** کوالکام داخلی

* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

*** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته

افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8655 الف-33358926
هسته بالادست
بالا Android One، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Pixel، Pixel XL 12 اکتبر 2016
CVE-2016-9793 الف-33363517
هسته بالادست
بالا Android One، Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Nexus Player، Pixel C، Pixel، Pixel XL 2 دسامبر 2016

افزایش آسیب پذیری امتیاز در درایور سخت افزار ورودی کوالکام

افزایش آسیب پذیری امتیاز در درایور سخت افزار ورودی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0516 A-32341680*
QC-CR#1096301
بالا اندروید وان، پیکسل، پیکسل XL 21 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور سنسور سخت افزار مدیاتک

افزایش آسیب پذیری امتیاز در درایور حسگر سخت افزار MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0517 A-32372051*
M-ALPS02973195
بالا هیچ یک** 22 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC

افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0457 A-31695439*
QC-CR#1086123
QC-CR#1100695
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL 22 سپتامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور سنسور اثر انگشت کوالکام

افزایش آسیب پذیری امتیاز در درایور حسگر اثر انگشت کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0518 A-32370896*
QC-CR#1086530
بالا پیکسل، پیکسل XL 24 اکتبر 2016
CVE-2017-0519 A-32372915*
QC-CR#1086530
بالا پیکسل، پیکسل XL 24 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور موتور کریپتو کوالکام

افزایش آسیب پذیری امتیاز در درایور موتور کریپتو کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0520 الف-31750232
QC-CR#1082636
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 24 سپتامبر 2016

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام

افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0458 A-32588962
QC-CR#1089433
بالا پیکسل، پیکسل XL 31 اکتبر 2016
CVE-2017-0521 A-32919951
QC-CR#1097709
بالا Nexus 5X، Nexus 6P، Android One، Pixel، Pixel XL 15 نوامبر 2016

افزایش آسیب پذیری امتیاز در MediaTek APK

افزایش آسیب پذیری امتیاز در یک APK MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این موضوع به دلیل امکان اجرای کد دلخواه محلی در یک فرآیند ممتاز به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0522 A-32916158*
M-ALPS03032516
بالا هیچ یک** 15 نوامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور Wi-Fi کوالکام

افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0464 الف-32940193
QC-CR#1102593
بالا Nexus 5X، Pixel، Pixel XL 15 نوامبر 2016
CVE-2017-0453 الف-33979145
QC-CR#1105085
بالا Nexus 5X، Android One 30 دسامبر 2016
CVE-2017-0523 الف-32835279
QC-CR#1096945
بالا هیچ یک* گوگل داخلی

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics

افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0524 A-33002026 بالا Android One، Nexus 5X، Nexus 6P، Nexus 9، Pixel، Pixel XL 18 نوامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور IPA کوالکام

افزایش آسیب پذیری امتیاز در درایور Qualcomm IPA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0456 A-33106520*
QC-CR#1099598
بالا Nexus 5X، Nexus 6P، Android One، Pixel، Pixel XL 23 نوامبر 2016
CVE-2017-0525 A-33139056*
QC-CR#1097714
بالا Nexus 5X، Nexus 6P، Android One، Pixel، Pixel XL 25 نوامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در HTC Sensor Hub Driver

افزایش آسیب پذیری امتیاز در HTC Sensor Hub Driver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0526 A-33897738* بالا Nexus 9 25 دسامبر 2016
CVE-2017-0527 A-33899318* بالا Nexus 9، Pixel، Pixel XL 25 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور پردازنده گرافیکی NVIDIA

افزایش آسیب پذیری امتیاز در درایور NVIDIA GPU می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0307 A-33177895*
N-CVE-2017-0307
بالا هیچ یک** 28 نوامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

افزایش آسیب پذیری امتیاز در درایور شبکه کوالکام

افزایش آسیب پذیری امتیاز در درایور شبکه کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0463 الف-33277611
QC-CR#1101792
بالا Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 30 نوامبر 2016
CVE-2017-0460 A-31252965*
QC-CR#1098801
بالا Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Pixel، Pixel XL گوگل داخلی

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در زیرسیستم امنیت هسته

افزایش آسیب‌پذیری امتیاز در زیرسیستم امنیتی هسته می‌تواند یک برنامه مخرب محلی را قادر سازد تا کد را در چارچوب یک فرآیند ممتاز اجرا کند. این موضوع به عنوان High رتبه بندی شده است زیرا یک دور زدن عمومی برای دفاع در سطح هسته در عمق یا فناوری کاهش بهره برداری است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0528 A-33351919* بالا پیکسل، پیکسل XL 4 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

افزایش آسیب پذیری امتیاز در درایور Qualcomm SPCom

افزایش آسیب پذیری امتیاز در درایور Qualcomm SPCom می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-5856 الف-32610665
QC-CR#1094078
بالا هیچ یک* گوگل داخلی
CVE-2016-5857 الف-34386529
QC-CR#1094140
بالا هیچ یک* گوگل داخلی

* دستگاه‌های پشتیبانی‌شده Google در Android نسخه 7.0 یا بالاتر که همه به‌روزرسانی‌های موجود را نصب کرده‌اند تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.

آسیب پذیری افشای اطلاعات در زیرسیستم شبکه هسته

یک آسیب پذیری افشای اطلاعات در زیرسیستم شبکه هسته می تواند یک مهاجم نزدیک محلی را قادر سازد تا به اطلاعات حساس دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده ها بدون اجازه استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2014-8709 الف-34077221
هسته بالادست
بالا Nexus Player 9 نوامبر 2014

آسیب پذیری افشای اطلاعات در درایور مدیاتک

یک آسیب‌پذیری افشای اطلاعات در درایور MediaTek می‌تواند یک برنامه مخرب محلی را قادر سازد تا به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0529 A-28449427*
M-ALPS02710042
بالا هیچ یک** 27 آوریل 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب پذیری افشای اطلاعات در بوت لودر کوالکام

یک آسیب‌پذیری افشای اطلاعات در بوت‌لودر کوالکام می‌تواند به یک برنامه مخرب محلی کمک کند تا کد دلخواه را در متن بوت‌لودر اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا یک دور زدن عمومی برای دفاع در سطح بوت لودر در عمق یا فناوری کاهش بهره برداری است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0455 الف-32370952
QC-CR#1082755
بالا پیکسل، پیکسل XL 21 اکتبر 2016

آسیب پذیری افشای اطلاعات در درایور برق کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور برق کوالکام می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8483 الف-33745862
QC-CR#1035099
بالا Nexus 5X، Nexus 6P 19 دسامبر 2016

آسیب پذیری افشای اطلاعات در درایور کارت گرافیک NVIDIA

یک آسیب‌پذیری افشای اطلاعات در درایور کارت گرافیک NVIDIA می‌تواند یک برنامه مخرب محلی را قادر سازد تا به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0334 A-33245849*
N-CVE-2017-0334
بالا پیکسل سی 30 نوامبر 2016
CVE-2017-0336 A-33042679*
N-CVE-2017-0336
بالا پیکسل سی گوگل داخلی

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری انکار سرویس در زیرسیستم رمزنگاری هسته

آسیب پذیری انکار سرویس در زیرسیستم رمزنگاری هسته می تواند یک مهاجم راه دور را قادر سازد تا از یک بسته شبکه ساخته شده ویژه برای ایجاد قطع یا راه اندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8650 الف-33401771
هسته بالادست
بالا Nexus 5X، Nexus 6P، Pixel، Pixel XL 12 اکتبر 2016

افزایش آسیب پذیری امتیاز در درایور دوربین کوالکام (ویژه دستگاه)

افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به‌عنوان متوسط ​​رتبه‌بندی می‌شود زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است و با پیکربندی‌های پلتفرم فعلی کاهش می‌یابد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8417 الف-32342399
QC-CR#1088824
در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 21 اکتبر 2016

آسیب پذیری افشای اطلاعات در درایور وای فای کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور Wi-Fi کوالکام می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0461 الف-32073794
QC-CR#1100132
در حد متوسط Android One، Nexus 5X، Pixel، Pixel XL 9 اکتبر 2016
CVE-2017-0459 الف-32644895
QC-CR#1091939
در حد متوسط پیکسل، پیکسل XL 3 نوامبر 2016
CVE-2017-0531 الف-32877245
QC-CR#1087469
در حد متوسط Android One، Nexus 5X، Nexus 6P، Pixel، Pixel XL 13 نوامبر 2016

آسیب‌پذیری افشای اطلاعات در درایور کدک ویدیویی MediaTek

یک آسیب‌پذیری افشای اطلاعات در درایور کدک ویدیویی MediaTek می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0532 A-32370398*
M-ALPS03069985
در حد متوسط هیچ یک** 22 اکتبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

** دستگاه های پشتیبانی شده Google در Android نسخه 7.0 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.

آسیب‌پذیری افشای اطلاعات در درایور ویدیوی کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور ویدیوی Qualcomm می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0533 الف-32509422
QC-CR#1088206
در حد متوسط پیکسل، پیکسل XL 27 اکتبر 2016
CVE-2017-0534 الف-32508732
QC-CR#1088206
در حد متوسط پیکسل، پیکسل XL 28 اکتبر 2016
CVE-2016-8416 الف-32510746
QC-CR#1088206
در حد متوسط پیکسل، پیکسل XL 28 اکتبر 2016
CVE-2016-8478 الف-32511270
QC-CR#1088206
در حد متوسط پیکسل، پیکسل XL 28 اکتبر 2016

آسیب پذیری افشای اطلاعات در درایور دوربین کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور دوربین کوالکام می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2016-8413 A-32709702
QC-CR#518731
در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 4 نوامبر 2016
CVE-2016-8477 الف-32720522
QC-CR#1090007 [ 2 ]
در حد متوسط Nexus 5X، Nexus 6، Nexus 6P، Android One، Pixel، Pixel XL 7 نوامبر 2016

آسیب پذیری افشای اطلاعات در درایور کدک صدای HTC

یک آسیب‌پذیری افشای اطلاعات در درایور کدک صدای HTC می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0535 A-33547247* در حد متوسط Nexus 9 11 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور صفحه لمسی Synaptics

یک آسیب‌پذیری افشای اطلاعات در درایور صفحه لمسی Synaptics می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0536 A-33555878* در حد متوسط Android One، Nexus 5X، Nexus 6P، Nexus 9، Pixel، Pixel XL 12 دسامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب‌پذیری افشای اطلاعات در درایور ابزار USB هسته

یک آسیب‌پذیری افشای اطلاعات در درایور ابزار USB هسته می‌تواند یک برنامه مخرب محلی را قادر سازد به داده‌های خارج از سطوح مجوز دسترسی پیدا کند. این موضوع به‌عنوان متوسط ​​رتبه‌بندی می‌شود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0537 A-31614969* در حد متوسط پیکسل سی گوگل داخلی

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

آسیب پذیری افشای اطلاعات در درایور دوربین کوالکام

یک آسیب‌پذیری افشای اطلاعات در درایور دوربین کوالکام می‌تواند یک برنامه مخرب محلی را قادر به دسترسی به داده‌های خارج از سطوح مجوز خود کند. این مشکل به عنوان Low رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.

CVE منابع شدت دستگاه های گوگل به روز شده تاریخ گزارش شده
CVE-2017-0452 A-32873615*
QC-CR#1093693
کم Nexus 5X، Nexus 6P، Android One 10 نوامبر 2016

* پچ مربوط به این موضوع در دسترس عموم نیست. این به‌روزرسانی در جدیدترین درایورهای باینری دستگاه‌های Nexus موجود در سایت Google Developer موجود است.

پرسش ها و پاسخ های متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی Pixel و Nexus را بخوانید.

  • سطوح وصله امنیتی 01/03/2017 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 01/03/2017 را برطرف می‌کند.
  • سطوح وصله امنیتی 05/03/2017 یا بعد از آن، تمام مسائل مرتبط با سطح وصله امنیتی 05/03/2017 و تمام سطوح وصله قبلی را برطرف می‌کند.

سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:

  • [ro.build.version.security_patch]:[01/03/2017]
  • [ro.build.version.security_patch]:[05/03/2017]

2. چرا این بولتن دارای دو سطح وصله امنیتی است؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.

  • دستگاه‌هایی که از سطح وصله امنیتی 1 مارس 2017 استفاده می‌کنند باید همه مشکلات مربوط به آن سطح وصله امنیتی و همچنین رفع مشکلاتی را که در بولتن‌های امنیتی قبلی گزارش شده‌اند، داشته باشند.
  • دستگاه‌هایی که از سطح وصله امنیتی 5 مارس 2017 یا جدیدتر استفاده می‌کنند، باید همه وصله‌های قابل‌اجرا در این بولتن‌های امنیتی (و قبلی) را شامل شوند.

شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.

3. چگونه می توانم تشخیص دهم که کدام دستگاه های Google تحت تأثیر هر مشکلی هستند؟

در بخش‌های جزئیات آسیب‌پذیری امنیتی 01-03-2017 و 2017-03-05 ، هر جدول دارای یک ستون دستگاه‌های Google به‌روزرسانی شده است که محدوده دستگاه‌های آسیب‌دیده Google را که برای هر مشکل به‌روزرسانی می‌شوند را پوشش می‌دهد. این ستون چند گزینه دارد:

  • همه دستگاه‌های Google : اگر مشکلی روی دستگاه‌های All و Pixel تأثیر بگذارد، جدول «همه» را در ستون دستگاه‌های به‌روزرسانی‌شده Google خواهد داشت. «همه» دستگاه‌های پشتیبانی‌شده زیر را در بر می‌گیرد: Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Android One، Nexus Player، Pixel C، Pixel، و Pixel XL.
  • برخی از دستگاه‌های Google : اگر مشکلی بر همه دستگاه‌های Google تأثیر نمی‌گذارد، دستگاه‌های Google آسیب‌دیده در ستون دستگاه‌های Google به‌روزرسانی شده فهرست می‌شوند.
  • هیچ دستگاه Google : اگر هیچ دستگاه Google دارای Android نسخه 7.0 تحت تأثیر این مشکل قرار نگیرد، جدول «هیچکدام» در ستون دستگاه‌های به‌روزرسانی شده Google خواهد داشت.

4. ورودی های ستون مراجع به چه چیزی نگاشته می شوند؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند. این پیشوندها به صورت زیر ترسیم می شوند:

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

تجدید نظرها

  • 6 مارس 2017: بولتن منتشر شد.
  • 7 مارس 2017: بولتن اصلاح شد تا شامل پیوندهای AOSP باشد.