منتشر شده در 10 اردیبهشت 1396 | به روز شده در 03 اکتبر 2017
بولتن امنیتی اندروید حاوی جزئیاتی از آسیب پذیری های امنیتی است که بر دستگاه های اندرویدی تأثیر می گذارد. در کنار بولتن، یک بهروزرسانی امنیتی برای دستگاههای Nexus از طریق بهروزرسانی خارج از هوا (OTA) منتشر کردهایم. تصاویر سفتافزار دستگاه Google نیز در سایت Google Developer منتشر شده است. سطوح وصله امنیتی 05 می 2017 یا بعد از آن همه این مشکلات را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به برنامه بهروزرسانی Pixel و Nexus مراجعه کنید.
در تاریخ 03 آوریل 2017 یا قبل از آن، شرکا از مسائل شرح داده شده در بولتن مطلع شدند. وصله کد منبع برای این مشکلات در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند داده شده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.
شدیدترین این مشکلات یک آسیب پذیری امنیتی بحرانی است که می تواند اجرای کد از راه دور را در دستگاه آسیب دیده از طریق چندین روش مانند ایمیل، مرور وب و MMS هنگام پردازش فایل های رسانه ای فعال کند. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از آسیبپذیری احتمالاً روی دستگاه آسیبدیده میگذارد، با این فرض که پلتفرم و کاهش خدمات برای اهداف توسعه غیرفعال شده باشند یا اگر با موفقیت دور زده شوند.
ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد محافظت های پلتفرم امنیتی اندروید و محافظت های خدماتی مانند SafetyNet که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش تخفیف های خدمات Android و Google مراجعه کنید.
ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.
- این بولتن دارای دو رشته سطح وصله امنیتی است تا به شرکای Android انعطافپذیری برای رفع سریعتر زیرمجموعهای از آسیبپذیریها را که در همه دستگاههای Android مشابه هستند، ارائه دهد. برای اطلاعات بیشتر به پرسشها و پاسخهای رایج مراجعه کنید:
- 01/05/2017 : رشته سطح وصله امنیتی جزئی. این رشته سطح وصله امنیتی نشان میدهد که تمام مسائل مرتبط با 01/05/2017 (و تمام رشتههای سطح وصله امنیتی قبلی) برطرف شدهاند.
- 05/05/2017 : رشته سطح وصله امنیتی کامل. این رشته سطح وصله امنیتی نشان میدهد که تمام مسائل مرتبط با 2017-05-01 و 2017-05-05 (و تمام رشتههای سطح وصله امنیتی قبلی) برطرف شدهاند.
- دستگاههای پشتیبانیشده Google یک بهروزرسانی OTA با سطح وصله امنیتی 5 می 2017 دریافت خواهند کرد.
این خلاصهای از کاهشهای ارائهشده توسط پلتفرم امنیتی Android و محافظتهای خدماتی مانند SafetyNet است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.
- بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
- تیم امنیت Android با Verify Apps و SafetyNet که برای هشدار دادن به کاربران در مورد برنامههای بالقوه مضر طراحی شدهاند، بهطور فعال نظارت بر سوء استفاده میکند. تأیید برنامهها بهطور پیشفرض در دستگاههای دارای سرویسهای تلفن همراه Google فعال است و به ویژه برای کاربرانی که برنامههایی را از خارج از Google Play نصب میکنند، مهم است. ابزارهای روت کردن دستگاه در Google Play ممنوع هستند، اما Verify Apps به کاربران هنگام تلاش برای نصب یک برنامه روت شناسایی شده هشدار می دهد - مهم نیست از کجا آمده است. علاوه بر این، Verify Apps تلاش میکند تا نصب برنامههای مخرب شناختهشدهای را که از آسیبپذیری افزایش امتیاز سوءاستفاده میکنند، شناسایی و مسدود کند. اگر چنین برنامهای قبلاً نصب شده باشد، Verify Apps به کاربر اطلاع میدهد و تلاش میکند تا برنامه شناسایی شده را حذف کند.
- در صورت لزوم، برنامههای Google Hangouts و Messenger رسانهها را بهطور خودکار به فرآیندهایی مانند Mediaserver منتقل نمیکنند.
مایلیم از این پژوهشگران به خاطر مشارکتشان تشکر کنیم:
- ADlab of Venustech: CVE-2017-0630
- دی شن ( @returnsme ) از KeenLab ( @keen_lab )، Tencent: CVE-2016-10287
- Ecular Xu (徐健) از Trend Micro: CVE-2017-0599، CVE-2017-0635
- En He ( @heeeeen4x ) و بو لیو از MS509Team : CVE-2017-0601
- ایتان یونکر از پروژه بازیابی پیروزی تیم : CVE-2017-0493
- Gengjia Chen ( @chengjia4574 ) و pjf آزمایشگاه IceSword، Qihoo 360 Technology Co. Ltd: CVE-2016-10285، CVE-2016-10288، CVE-2016-10290، CVE-2017-06126، CVE-2017-06126، CVE-06124، CVE-2016-10285 -2017-0617، CVE-2016-10294، CVE-2016-10295، CVE-2016-10296
- godzheng (郑文选@VirtualSeekers ) از Tencent PC Manager: CVE-2017-0602
- Güliz Seray Tuncay از دانشگاه ایلینوی در Urbana-Champaign : CVE-2017-0593
- هائو چن و گوانگ گونگ از تیم آلفا، Qihoo 360 Technology Co. Ltd: CVE-2016-10283
- جوهو نی، یانگ چنگ، نان لی و کیوو هوانگ از شرکت شیائومی: CVE-2016-10276
- Michał Bednarski : CVE-2017-0598
- ناتان کراندال ( @natecray ) از تیم امنیت محصول تسلا: CVE-2017-0331، CVE-2017-0606
- Niky1235 ( @jiych_guru ): CVE-2017-0603
- آهنگ پنگ شیائو، چنگ مینگ یانگ، نینگ یو، چائو یانگ و یانگ گروه امنیت موبایل علی بابا: CVE-2016-10281، CVE-2016-10280
- Roee Hay ( @roeehay ) از Aleph Research : CVE-2016-10277
- اسکات بائر ( @ScottyBauer1 ): CVE-2016-10274
- Tong Lin ، Yuan-Tsung Lo ، و Xuxian Jiang از تیم C0RE : CVE-2016-10291
- واسیلی واسیلیف: CVE-2017-0589
- VEO ( @VYSEa ) تیم پاسخگویی به تهدیدات موبایل ، Trend Micro : CVE-2017-0590، CVE-2017-0587، CVE-2017-0600
- Xiling Gong از بخش پلت فرم امنیتی Tencent: CVE-2017-0597
- Xingyuan Lin of 360 Marvel Team: CVE-2017-0627
- یونگ وانگ (王勇) ( @ThomasKing2014 ) از Alibaba Inc: CVE-2017-0588
- Yonggang Guo ( @guoygang ) از IceSword Lab، Qihoo 360 Technology Co. Ltd: CVE-2016-10289، CVE-2017-0465
- یو پان تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
- Yu Pan و Peide Zhang از تیم Vulpecker، Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله 01-05-2017 اعمال میشود، ارائه میکنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاههای بهروزرسانیشده Google، نسخههای بهروزرسانیشده AOSP (در صورت لزوم) و تاریخ گزارششده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
یک آسیبپذیری اجرای کد از راه دور در Mediaserver میتواند مهاجم را با استفاده از یک فایل خاص ساخته شده قادر سازد تا حافظه را در طول فایل رسانه و پردازش دادهها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0587 | الف-35219737 | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 4 ژانویه 2017 |
| CVE-2017-0588 | الف-34618607 | بحرانی | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 21 ژانویه 2017 |
| CVE-2017-0589 | الف-34897036 | بحرانی | همه | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 1 فوریه 2017 |
| CVE-2017-0590 | A-35039946 | بحرانی | همه | 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 6 فوریه 2017 |
| CVE-2017-0591 | الف-34097672 | بحرانی | همه | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | گوگل داخلی |
| CVE-2017-0592 | الف-34970788 | بحرانی | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | گوگل داخلی |
افزایش آسیب پذیری امتیاز در Framework API می تواند یک برنامه مخرب محلی را قادر سازد تا به مجوزهای سفارشی دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا یک دور زدن کلی برای محافظت از سیستم عامل است که داده های برنامه را از سایر برنامه ها جدا می کند.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0593 | الف-34114230 | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 5 ژانویه 2017 |
افزایش آسیب پذیری امتیاز در Mediaserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0594 | الف-34617444 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 22 ژانویه 2017 |
| CVE-2017-0595 | الف-34705519 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 24 ژانویه 2017 |
| CVE-2017-0596 | الف-34749392 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1 | 24 ژانویه 2017 |
افزایش آسیب پذیری امتیاز در Audioserver می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب یک فرآیند ممتاز اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی محلی به قابلیت های بالا استفاده کرد که معمولاً برای یک برنامه شخص ثالث قابل دسترسی نیستند.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0597 | الف-34749571 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 25 ژانویه 2017 |
یک آسیبپذیری افشای اطلاعات در Framework API میتواند یک برنامه مخرب محلی را قادر به دور زدن حفاظتهای سیستم عاملی کند که دادههای برنامه را از سایر برنامهها جدا میکند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده هایی استفاده کرد که برنامه به آنها دسترسی ندارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [ 2 ] | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 6 ژانویه 2017 |
آسیبپذیری انکار سرویس از راه دور در Mediaserver میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده خاص برای هنگ کردن یا راهاندازی مجدد دستگاه استفاده کند. این موضوع به دلیل امکان انکار سرویس از راه دور، با شدت بالا رتبه بندی می شود.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0599 | الف-34672748 | بالا | همه | 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 23 ژانویه 2017 |
| CVE-2017-0600 | الف-35269635 | بالا | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 10 فوریه 2017 |
آسیبپذیری Elevation of Privilege در بلوتوث میتواند به طور بالقوه یک برنامه مخرب محلی را قادر سازد تا فایلهای مضر اشتراکگذاری شده از طریق بلوتوث را بدون اجازه کاربر بپذیرد. به دلیل دور زدن محلی الزامات تعامل کاربر، این مشکل به عنوان متوسط رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0601 | الف-35258579 | در حد متوسط | همه | 7.0، 7.1.1، 7.1.2 | 9 فوریه 2017 |
یک آسیبپذیری افشای اطلاعات در رمزگذاری مبتنی بر فایل میتواند یک مهاجم مخرب محلی را قادر به دور زدن حفاظتهای سیستم عامل برای صفحه قفل کند. این موضوع به دلیل امکان دور زدن صفحه قفل به عنوان متوسط رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [ 2 ] [ 3 ] | در حد متوسط | همه | 7.0، 7.1.1 | 9 نوامبر 2016 |
یک آسیبپذیری افشای اطلاعات در بلوتوث میتواند به یک برنامه مخرب محلی اجازه دهد تا از حفاظتهای سیستم عاملی که دادههای برنامه را از سایر برنامهها جدا میکند دور بزند. این موضوع به دلیل جزئیات خاص آسیبپذیری، به عنوان متوسط رتبهبندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0602 | الف-34946955 | در حد متوسط | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 5 دسامبر 2016 |
یک آسیبپذیری افشای اطلاعات در OpenSSL و BoringSSL میتواند مهاجم راه دور را قادر به دسترسی به اطلاعات حساس کند. این موضوع به دلیل جزئیات خاص آسیبپذیری، به عنوان متوسط رتبهبندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2016-7056 | الف-33752052 | در حد متوسط | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 19 دسامبر 2016 |
آسیبپذیری انکار سرویس در Mediaserver میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده خاص برای هنگ کردن یا راهاندازی مجدد دستگاه استفاده کند. این مشکل به عنوان متوسط رتبه بندی شده است زیرا به پیکربندی دستگاه غیر معمول نیاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0603 | الف-35763994 | در حد متوسط | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 23 فوریه 2017 |
آسیبپذیری انکار سرویس از راه دور در Mediaserver میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده خاص برای هنگ کردن یا راهاندازی مجدد دستگاه استفاده کند. به دلیل جزئیات خاص آسیب پذیری، این مشکل به عنوان Low رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2017-0635 | الف-35467107 | کم | همه | 7.0، 7.1.1، 7.1.2 | 16 فوریه 2017 |
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی را که در سطح وصله ۰۵-۰۵-۲۰۱۷ اعمال میشوند، ارائه میکنیم. شرحی از مشکل، دلیل شدت، و جدولی با CVE، مراجع مرتبط، شدت، دستگاههای بهروزرسانیشده Google، نسخههای بهروزرسانیشده AOSP (در صورت لزوم) و تاریخ گزارششده وجود دارد. زمانی که در دسترس باشد، تغییر عمومی را که به مشکل پرداخته است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.
یک آسیبپذیری اجرای کد از راه دور در GIFLIB میتواند مهاجم را با استفاده از یک فایل ساختهشده خاص قادر سازد تا حافظه را در طول فایل رسانه و پردازش دادهها خراب کند. این موضوع به دلیل امکان اجرای کد از راه دور در چارچوب فرآیند Mediaserver به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2015-7555 | الف-34697653 | بحرانی | همه | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0، 7.1.1، 7.1.2 | 13 آوریل 2016 |
افزایش آسیب پذیری امتیاز در درایور صفحه لمسی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 | بحرانی | هیچ یک** | 16 جولای 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در بوت لودر کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10275 | الف-34514954 QC-CR#1009111 | بحرانی | Nexus 5X، Nexus 6، Pixel، Pixel XL، Android One | 13 سپتامبر 2016 |
| CVE-2016-10276 | الف-32952839 QC-CR#1094105 | بحرانی | Nexus 5X، Nexus 6P، Pixel، Pixel XL | 16 نوامبر 2016 |
افزایش آسیب پذیری امتیاز در زیرسیستم صدای هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-9794 | الف-34068036 هسته بالادست | بحرانی | Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Android One، Nexus Player | 3 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در بوت لودر موتورولا می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن بوت لودر اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* | بحرانی | Nexus 6 | 21 دسامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور ویدیوی NVIDIA می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 | بحرانی | Nexus 9 | 4 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در درایور قدرت هسته Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به دلیل احتمال به خطر افتادن دستگاه دائمی محلی، که ممکن است برای تعمیر دستگاه نیاز به فلش کردن مجدد سیستم عامل داشته باشد، به عنوان بحرانی رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 | بحرانی | هیچ یک* | 15 فوریه 2017 |
* دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
این آسیبپذیریها بر اجزای Qualcomm تأثیر میگذارند و در بولتنهای امنیتی Qualcomm AMSS در آگوست، سپتامبر، اکتبر و دسامبر 2016 با جزئیات بیشتر توضیح داده شدهاند.
| CVE | منابع | شدت* | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 | بحرانی | Nexus 6P | کوالکام داخلی |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 | بحرانی | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL | کوالکام داخلی |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 | بالا | پیکسل، پیکسل XL | کوالکام داخلی |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 | بالا | پیکسل، پیکسل XL | کوالکام داخلی |
* درجه بندی شدت این آسیب پذیری ها توسط فروشنده تعیین شده است.
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
یک آسیبپذیری اجرای کد از راه دور در libxml2 میتواند مهاجم را قادر سازد تا از یک فایل ساختهشده ویژه برای اجرای کد دلخواه در چارچوب یک فرآیند غیرمجاز استفاده کند. این موضوع به دلیل امکان اجرای کد از راه دور در برنامه ای که از این کتابخانه استفاده می کند، به عنوان High رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | نسخه های AOSP به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | بالا | هیچ یک** | 4.4.4، 5.0.2، 5.1.1، 6.0، 6.0.1، 7.0 | 23 جولای 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور حرارتی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 | بالا | هیچ یک** | 11 آوریل 2016 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 | بالا | هیچ یک** | 11 آوریل 2016 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 | بالا | هیچ یک** | 27 دسامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور Wi-Fi Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10283 | الف-32094986 QC-CR#2002052 | بالا | Nexus 5X، Pixel، Pixel XL، Android One | 11 اکتبر 2016 |
افزایش آسیب پذیری امتیاز در درایور ویدیوی کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 24 اکتبر 2016 |
| CVE-2016-10285 | الف-33752702 QC-CR#1104899 | بالا | پیکسل، پیکسل XL | 19 دسامبر 2016 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 | بالا | پیکسل، پیکسل XL | 15 فوریه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
افزایش آسیب پذیری امتیاز در زیرسیستم عملکرد هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2015-9004 | الف-34515362 هسته بالادست | بالا | Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Pixel C، Android One، Nexus Player | 23 نوامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور صدای Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10287 | الف-33784446 QC-CR#1112751 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One | 20 دسامبر 2016 |
| CVE-2017-0606 | الف-34088848 QC-CR#1116015 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One | 3 ژانویه 2017 |
| CVE-2016-5860 | الف-34623424 QC-CR#1100682 | بالا | پیکسل، پیکسل XL | 22 ژانویه 2017 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 | بالا | هیچ یک* | 15 فوریه 2017 |
| CVE-2017-0607 | الف-35400551 QC-CR#1085928 | بالا | پیکسل، پیکسل XL | 15 فوریه 2017 |
| CVE-2017-0608 | الف-35400458 QC-CR#1098363 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2016-5859 | الف-35399758 QC-CR#1096672 | بالا | هیچ یک* | 15 فوریه 2017 |
| CVE-2017-0610 | الف-35399404 QC-CR#1094852 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2017-0611 | الف-35393841 QC-CR#1084210 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2016-5853 | الف-35392629 QC-CR#1102987 | بالا | هیچ یک* | 15 فوریه 2017 |
* دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور LED Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10288 | الف-33863909 QC-CR#1109763 | بالا | پیکسل، پیکسل XL | 23 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور رمزارز کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 24 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور حافظه مشترک کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10290 | الف-33898330 QC-CR#1109782 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL | 24 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور Qualcomm Slimbus می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10291 | الف-34030871 QC-CR#986837 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Android One | 31 دسامبر 2016 |
افزایش آسیب پذیری امتیاز در درایور Qualcomm ADSPRPC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0465 | الف-34112914 QC-CR#1110747 | بالا | Nexus 5X، Nexus 6P، Pixel، Pixel XL، Android One | 5 ژانویه 2017 |
افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Execution Environment Communicator می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0612 | الف-34389303 QC-CR#1061845 | بالا | پیکسل، پیکسل XL | 10 ژانویه 2017 |
| CVE-2017-0613 | الف-35400457 QC-CR#1086140 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
| CVE-2017-0614 | الف-35399405 QC-CR#1080290 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور قدرت MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 | بالا | هیچ یک** | 12 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور وقفه مدیریت سیستم MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 | بالا | هیچ یک** | 19 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور ویدیوی MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 | بالا | هیچ یک** | 19 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور صف فرمان MediaTek می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 | بالا | هیچ یک** | 7 فوریه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
افزایش آسیب پذیری امتیاز در درایور کنترل کننده پین کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0619 | الف-35401152 QC-CR#826566 | بالا | Nexus 6، Android One | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور Qualcomm Secure Channel Manager می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0620 | الف-35401052 QC-CR#1081711 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
افزایش آسیبپذیری امتیاز در درایور کدک صدای Qualcomm میتواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 | بالا | پیکسل، پیکسل XL | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور تنظیم کننده ولتاژ هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2014-9940 | الف-35399757 هسته بالادست | بالا | Nexus 6، Nexus 9، Pixel C، Android One، Nexus Player | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 | بالا | اندروید وان | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در درایور شبکه کوالکام می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در چارچوب هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5868 | الف-35392791 QC-CR#1104431 | بالا | Nexus 5X، Pixel، Pixel XL | 15 فوریه 2017 |
افزایش آسیب پذیری امتیاز در زیرسیستم شبکه هسته می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-7184 | الف-36565222 هسته بالادست [2] | بالا | Nexus 5X، Nexus 6، Nexus 6P، Nexus 9، Pixel، Pixel XL، Android One | 23 مارس 2017 |
افزایش آسیب پذیری امتیاز در درایور صفحه لمسی Goodix می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در متن هسته اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0622 | الف-32749036 QC-CR#1098602 | بالا | اندروید وان | گوگل داخلی |
افزایش آسیب پذیری امتیاز در بوت لودر HTC می تواند یک برنامه مخرب محلی را قادر سازد تا کد دلخواه را در زمینه بوت لودر اجرا کند. این مشکل به عنوان High رتبه بندی شده است زیرا ابتدا نیاز به به خطر انداختن یک فرآیند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* | بالا | پیکسل، پیکسل XL | گوگل داخلی |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
یک آسیبپذیری افشای اطلاعات در درایور Wi-Fi کوالکام میتواند یک برنامه مخرب محلی را قادر سازد به دادههای خارج از سطوح مجوز دسترسی پیدا کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 | بالا | Nexus 5X، Pixel، Pixel XL | 16 ژانویه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
یک آسیبپذیری افشای اطلاعات در درایور صف فرمان MediaTek میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 | بالا | هیچ یک** | 8 فوریه 2017 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
** دستگاه های پشتیبانی شده Google در Android نسخه 7.1.1 یا بالاتر که همه به روز رسانی های موجود را نصب کرده اند تحت تأثیر این آسیب پذیری قرار نمی گیرند.
یک آسیبپذیری افشای اطلاعات در درایور موتور کریپتو کوالکام میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این مشکل به عنوان High رتبه بندی شده است زیرا می توان از آن برای دسترسی به داده های حساس بدون اجازه صریح کاربر استفاده کرد.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0626 | الف-35393124 QC-CR#1088050 | بالا | Nexus 5X، Nexus 6، Nexus 6P، Pixel، Pixel XL، Android One | 15 فوریه 2017 |
آسیبپذیری انکار سرویس در درایور وایفای کوالکام میتواند مهاجم نزدیک را قادر به انکار سرویس در زیرسیستم Wi-Fi کند. این موضوع به دلیل امکان رد سرویس از راه دور به عنوان High رتبه بندی شده است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 | بالا | Nexus 5X، Pixel، Pixel XL | 16 دسامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
یک آسیبپذیری افشای اطلاعات در درایور هسته UVC میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* | در حد متوسط | Nexus 5X، Nexus 6P، Nexus 9، Pixel C، Nexus Player | 2 دسامبر 2016 |
* پچ مربوط به این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
یک آسیبپذیری افشای اطلاعات در درایور ویدیوی Qualcomm میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10293 | الف-33352393 QC-CR#1101943 | در حد متوسط | Nexus 5X، Nexus 6P، Android One | 4 دسامبر 2016 |
یک آسیبپذیری افشای اطلاعات در درایور برق کوالکام میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10294 | الف-33621829 QC-CR#1105481 | در حد متوسط | Nexus 5X، Nexus 6P، Pixel، Pixel XL | 14 دسامبر 2016 |
یک آسیبپذیری افشای اطلاعات در درایور LED Qualcomm میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10295 | الف-33781694 QC-CR#1109326 | در حد متوسط | پیکسل، پیکسل XL | 20 دسامبر 2016 |
یک آسیبپذیری افشای اطلاعات در درایور حافظه مشترک کوالکام میتواند یک برنامه مخرب محلی را قادر به دسترسی به دادههای خارج از سطوح مجوز خود کند. این موضوع بهعنوان متوسط رتبهبندی میشود، زیرا ابتدا نیازمند به خطر انداختن یک فرآیند ممتاز است.
| CVE | منابع | شدت | دستگاه های گوگل به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-10296 | الف-33845464 QC-CR#1109782 | در حد متوسط | Nexus 5x ، Nexus 6P ، Pixel ، Pixel XL ، Android One | 22 دسامبر 2016 |
آسیب پذیری افشای اطلاعات در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 | در حد متوسط | Nexus 5x ، Nexus 6 ، Pixel ، Pixel XL | 10 ژانویه 2017 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 | در حد متوسط | Nexus 5x ، Nexus 6 ، Pixel ، Pixel XL | 8 فوریه 2017 |
آسیب پذیری افشای اطلاعات در زیر سیستم ردیابی هسته می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز آن کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* | در حد متوسط | Nexus 5x ، Nexus 6 ، Nexus 6P ، Nexus 9 ، Pixel ، Pixel XL ، Pixel C ، Android One ، Nexus Player | 11 ژانویه 2017 |
* وصله این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] | در حد متوسط | Nexus 5x ، Nexus 6 ، Nexus 6P ، Pixel ، Pixel XL ، Android One | 15 فوریه 2017 |
آسیب پذیری افشای اطلاعات در درایور دوربین Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 | در حد متوسط | Nexus 5x ، Nexus 6P ، Pixel ، Pixel XL ، Android One | 15 فوریه 2017 |
آسیب پذیری افشای اطلاعات در درایور صدا Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 | در حد متوسط | Nexus 5x ، Nexus 6 ، Nexus 6P ، Pixel ، Pixel XL ، Android One | 15 فوریه 2017 |
آسیب پذیری افشای اطلاعات در درایور Qualcomm SPCOM می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 | در حد متوسط | هیچ یک* | 15 فوریه 2017 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 | در حد متوسط | هیچ یک* | 15 فوریه 2017 |
* از دستگاه های Google پشتیبانی شده در Android 7.1.1 یا بعد از آن که تمام به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.
آسیب پذیری افشای اطلاعات در درایور کدک صوتی Qualcomm می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 | در حد متوسط | اندروید وان | 15 فوریه 2017 |
آسیب پذیری افشای اطلاعات در درایور Wi-Fi Broadcom می تواند یک مؤلفه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 | در حد متوسط | Nexus 6 ، Nexus 6P ، Nexus 9 ، Pixel C ، Nexus Player | 23 فوریه 2017 |
* وصله این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
آسیب پذیری افشای اطلاعات در درایور لمسی Synaptics می تواند یک برنامه مخرب محلی را قادر به دسترسی به داده های خارج از سطح مجوز خود کند. این مسئله به عنوان متوسط رتبه بندی می شود زیرا ابتدا نیاز به به خطر انداختن یک فرایند ممتاز دارد.
| CVE | منابع | شدت | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* | در حد متوسط | پیکسل، پیکسل XL | گوگل داخلی |
* وصله این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
این آسیب پذیری های مؤثر بر اجزای Qualcomm به عنوان بخشی از بولتن های امنیتی Qualcomm AMSS بین سالهای 2014 تا 2016 منتشر شد. آنها در این بولتن امنیتی Android گنجانده شده اند تا اصلاحات خود را با سطح پچ امنیتی اندرویدی مرتبط کنند.
| CVE | منابع | شدت* | دستگاه های Google به روز شده | تاریخ گزارش شده |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9924 | A-35434631 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9925 | A-35444657 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9926 | A-35433784 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9927 | A-35433785 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9928 | A-35438623 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9929 | A-35443954 ** QC-CR#644783 | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9930 | A-35432946 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2015-9005 | A-36393500 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2015-9006 | A-36393450 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2015-9007 | A-36393700 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2016-10297 | A-36393451 ** | بحرانی | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9941 | A-36385125 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9942 | A-36385319 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9943 | A-36385219 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9944 | A-36384534 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9945 | A-36386912 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9946 | A-36385281 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9947 | A-36392400 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9948 | A-36385126 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9949 | A-36390608 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9950 | A-36385321 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9951 | A-36389161 ** | بالا | هیچ یک*** | کوالکام داخلی |
| CVE-2014-9952 | A-36387019 ** | بالا | هیچ یک*** | کوالکام داخلی |
* امتیاز شدت این آسیب پذیری ها توسط فروشنده تعیین شد.
** وصله این موضوع در دسترس عموم نیست. این بهروزرسانی در جدیدترین درایورهای باینری دستگاههای Nexus موجود در سایت Google Developer موجود است.
*** از دستگاه های Google پشتیبانی شده در Android 7.1.1 یا بعد از آن که همه به روزرسانی های موجود را نصب کرده اند ، تحت تأثیر این آسیب پذیری قرار نمی گیرند.
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه ، دستورالعمل های مربوط به برنامه به روزرسانی Pixel و Nexus را بخوانید.
- سطح امنیت پچ امنیت 2017-05-01 یا بعداً به کلیه موضوعات مرتبط با سطح پچ امنیتی 2017-05-01 پرداخته است.
- سطح امنیت پچ امنیت 2017-05-05 یا بعداً به کلیه موضوعات مرتبط با سطح پچ امنیتی 2017-05-05 و تمام سطح پچ قبلی پرداخته می شود.
سازندگان دستگاههایی که شامل این بهروزرسانیها میشوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:
- [ro.build.version.securance_patch]: [2017-05-01]
- [ro.build.version.securance_patch]: [2017-05-05]
2. چرا این بولتن دارای دو سطح وصله امنیتی است؟
این بولتن دارای دو سطح وصله امنیتی است تا شرکای Android انعطاف پذیری لازم را داشته باشند تا زیرمجموعه ای از آسیب پذیری ها را که در همه دستگاه های اندرویدی مشابه هستند با سرعت بیشتری برطرف کنند. شرکای Android تشویق می شوند تا تمام مشکلات موجود در این بولتن را برطرف کنند و از آخرین سطح وصله امنیتی استفاده کنند.
- دستگاه هایی که از سطح پچ امنیتی 01 مه 2017 استفاده می کنند ، باید شامل کلیه موارد مرتبط با آن سطح پچ امنیتی و همچنین رفع کلیه موارد گزارش شده در بولتن های امنیتی قبلی باشند.
- دستگاه هایی که از سطح امنیتی پچ امنیت 05 مه 2017 یا جدیدتر استفاده می کنند ، باید کلیه تکه های قابل اجرا را در این بولتن های امنیتی (و قبلی) شامل شوند.
شرکا تشویق می شوند تا اصلاحات مربوط به همه مشکلاتی را که در حال رفع آنها هستند در یک به روز رسانی واحد جمع کنند.
3. چگونه می توانم تعیین کنم که دستگاه های Google تحت تأثیر هر شماره قرار می گیرند؟
در بخش های جزئیات آسیب پذیری امنیتی 2017-05-01 و 2017-05-05 ، هر جدول دارای یک ستون دستگاه های Google به روز شده است که دامنه دستگاههای گوگل تحت تأثیر را برای هر شماره به روز می کند. این ستون چند گزینه دارد:
- همه دستگاه های Google : اگر یک مسئله بر همه دستگاه های پیکسل تأثیر بگذارد ، جدول در ستون به روز شده Google Devices "All" خواهد داشت. "All" دستگاه های پشتیبانی شده زیر را محصور می کند: Nexus 5X ، Nexus 6 ، Nexus 6P ، Nexus 9 ، Android One ، Nexus Player ، Pixel C ، Pixel و Pixel XL.
- برخی از دستگاه های Google : اگر یک مسئله بر همه دستگاه های Google تأثیر نگذارد ، دستگاه های تحت تأثیر Google در ستون به روز شده Google Devices ذکر شده اند.
- هیچ دستگاه Google : اگر دستگاه های Google که Android 7.0 را اجرا نمی کند ، تحت تأثیر این مسئله قرار نمی گیرند ، جدول در ستون دستگاه های Google به روز شده "هیچ" نخواهد داشت.
4- ورودی های موجود در ستون منابع به چه چیزی می پردازند؟
ورودیهای زیر ستون مراجع جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند. این پیشوندها به شرح زیر است:
| پیشوند | ارجاع |
|---|---|
| آ- | شناسه باگ اندروید |
| QC- | شماره مرجع کوالکام |
| M- | شماره مرجع مدیاتک |
| n- | شماره مرجع NVIDIA |
| ب- | شماره مرجع Broadcom |
- 01 مه 2017: بولتن منتشر شد.
- 02 مه 2017: بولتن اصلاح شده برای پیوندهای AOSP.
- 10 آگوست 2017: بولتن اصلاح شده برای پیوند اضافی AOSP برای CVE-2017-0493.
- 17 آگوست 2017: بولتن برای به روزرسانی شماره های مرجع اصلاح شد.
- 03 اکتبر 2017: بولتن اصلاح شده برای حذف CVE-2017-0605.