تاريخ النشر: 5 فبراير 2024
يتضمّن "تقرير أمان Android" تفاصيل حول الثغرات الأمنية التي تؤثر في أجهزة Android. تعمل مستويات تصحيح الأمان بتاريخ 2024-02-05 أو الإصدارات الأحدث على حلّ جميع هذه المشاكل. للتعرّف على كيفية التحقّق من مستوى رمز تصحيح الأمان على جهاز، يمكنك الاطّلاع على المقالة التحقّق من إصدار Android وتحديثه.
يتم إعلام شركاء Android بجميع المشاكل قبل شهر واحد على الأقل من تاريخ النشر. تم إصدار حِزم تصحيح الرموز المصدرية لهذه المشاكل في مستودع "مشروع Android المفتوح المصدر" (AOSP) وتم ربطها من هذا النشرة الإخبارية. يتضمّن هذا النشرة الإخبارية أيضًا روابط تؤدي إلى تصحيحات خارج نطاق مشروع Android مفتوح المصدر (AOSP).
وأخطر هذه المشاكل هي ثغرة أمنية خطيرة في مكوّن النظام يمكن أن تؤدي إلى تنفيذ رموز برمجية عن بُعد بدون الحاجة إلى أي امتيازات تنفيذ إضافية. يستند تقييم الخطورة إلى التأثير المحتمل الذي قد يحدثه استغلال الثغرة الأمنية على الجهاز المتأثر، وذلك بافتراض إيقاف إجراءات التخفيف من المخاطر في النظام الأساسي والخدمة لأغراض التطوير أو في حال تم تجاوزها بنجاح.
راجِع قسم إجراءات التخفيف من المخاطر في Android و"Google Play للحماية" لمعرفة تفاصيل حول إجراءات الحماية التي توفّرها منصة أمان Android و"Google Play للحماية"، والتي تعمل على تحسين أمان منصة Android.
إجراءات التخفيف من المخاطر في Android وخدمات Google
في ما يلي ملخّص لإجراءات التخفيف التي توفّرها منصة أمان Android وعمليات الحماية التي توفّرها الخدمات، مثل Google Play للحماية. وتقلّل هذه الإمكانات من احتمالية استغلال الثغرات الأمنية بنجاح على Android.
- تساهم التحسينات التي تم إجراؤها في الإصدارات الأحدث من نظام Android الأساسي في الحد من استغلال العديد من المشاكل على Android. ننصح جميع المستخدمين بتثبيت أحدث إصدار من Android متى أمكن ذلك.
- يراقب فريق أمان Android بشكل نشط أي إساءة استخدام من خلال Google Play للحماية، ويحذّر المستخدمين من التطبيقات التي يُحتمل أن تكون ضارة. يتم تفعيل خدمة "Google Play للحماية" تلقائيًا على الأجهزة التي تتضمّن خدمات Google للأجهزة الجوّالة، وهي مهمة بشكل خاص للمستخدمين الذين يثبّتون التطبيقات من خارج Google Play.
تفاصيل الثغرات الأمنية في مستوى رمز تصحيح الأمان بتاريخ 2024-02-01
في الأقسام أدناه، نقدّم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى تصحيح الأمان بتاريخ 2024-02-01. يتم تجميع الثغرات الأمنية ضمن المكوِّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والمراجع المرتبطة به ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). عند توفّر التغيير العلني الذي عالج المشكلة، نربطه بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلّق تغييرات متعدّدة بخطأ واحد، تتم إضافة مراجع إضافية إلى الأرقام التي تلي معرّف الخطأ. قد تتلقّى الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث تحديثات الأمان بالإضافة إلى تحديثات نظام Google Play.
Framework
قد يؤدي أشد الثغرات الأمنية خطورةً في هذا القسم إلى تصعيد امتيازات محلية بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2024-0029 | A-305664128 | EoP | عالية | 13 |
| CVE-2024-0034 | A-298094386 | EoP | عالية | 11 و12 و12L و13 |
| CVE-2024-0036 | A-230492947 | EoP | عالية | 11 و12 و12L و13 و14 |
| CVE-2024-0038 | A-309426390 | EoP | عالية | 14 |
| CVE-2024-0041 | A-300741186 | EoP | عالية | 14 |
| CVE-2024-0040 | A-300007708 | رقم التعريف | عالية | 11 و12 و12L و13 و14 |
النظام
يمكن أن تؤدي الثغرة الأمنية الأكثر خطورة في هذا القسم إلى تنفيذ رموز برمجية عن بُعد بدون الحاجة إلى امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات AOSP المعدَّلة |
|---|---|---|---|---|
| CVE-2024-0031 | A-297524203 | RCE | حرِج | 11 و12 و12L و13 و14 |
| CVE-2024-0014 | A-304082474 | EoP | عالية | 11 و12 و12L و13 و14 |
| CVE-2024-0033 | A-294609150 [2] | EoP | عالية | 11 و12 و12L و13 و14 |
| CVE-2024-0035 | A-300903792 | EoP | عالية | 11 و12 و12L و13 و14 |
| CVE-2023-40093 | A-279055389 [2] | رقم التعريف | عالية | 11 و12 و12L و13 و14 |
| CVE-2024-0030 | A-276898739 | رقم التعريف | عالية | 11 و12 و12L و13 و14 |
تحديثات نظام Google Play
لم يتم تناول أي مشاكل متعلّقة بالأمان في تحديثات نظام Google Play (Project Mainline) لهذا الشهر.
تفاصيل الثغرات الأمنية في مستوى رمز تصحيح الأمان بتاريخ 2024-02-05
في الأقسام أدناه، نقدّم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى تصحيح الأمان بتاريخ 2024-02-05. يتم تجميع الثغرات الأمنية ضمن المكوِّن الذي تؤثر فيه. يتم وصف المشاكل في الجداول أدناه، وتشمل معرّف CVE والمراجع المرتبطة به ونوع الثغرة الأمنية والخطورة وإصدارات AOSP المعدَّلة (حيثما ينطبق ذلك). عند توفّر التغيير العلني الذي عالج المشكلة، نربطه بمعرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلّق تغييرات متعدّدة بخطأ واحد، تتم إضافة مراجع إضافية إلى الأرقام التي تلي معرّف الخطأ.
مكوّنات مجموعة التجربة
تؤثّر هذه الثغرات الأمنية في مكونات Arm، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من Arm. تقدّم شركة Arm تقييم خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2023-5091 |
A-298150556 * | عالية | مالي |
| CVE-2023-5249 |
A-301630648 * | عالية | مالي |
| CVE-2023-5643 |
A-308188986 * | عالية | مالي |
مكوّنات MediaTek
تؤثّر هذه الثغرات الأمنية في مكونات MediaTek، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من MediaTek. تقدّم شركة MediaTek تقييمًا لمدى خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-20011 |
A-314698315
M-ALPS08441146 * |
عالية | alac decoder |
| CVE-2024-20006 |
A-314707751
M-ALPS08477148 * |
عالية | DA |
| CVE-2024-20007 |
A-314698312
M-ALPS08441369 * |
عالية | أداة فك ترميز mp3 |
| CVE-2024-20009 |
A-314698313
M-ALPS08441150 * |
عالية | alac decoder |
| CVE-2024-20010 |
A-314698314
M-ALPS08358560 * |
عالية | keyInstall |
| CVE-2023-32841 |
A-317829109
M-MOLY01128524 * |
عالية | مودم 5G |
| CVE-2023-32842 |
A-317826159
M-MOLY01130256 * |
عالية | مودم 5G |
| CVE-2023-32843 |
A-317829110
M-MOLY01130204 * |
عالية | مودم 5G |
| CVE-2024-20003 |
A-317829112
M-MOLY01191612 * |
عالية | مودم 5G |
مكوّنات Unisoc
تؤثّر هذه الثغرات الأمنية في مكونات Unisoc، ويمكنك الحصول على مزيد من التفاصيل مباشرةً من Unisoc. وتقدّم شركة Unisoc تقييمًا لمدى خطورة هذه المشاكل بشكل مباشر.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2023-49667 |
A-314033392
U-2455269 * |
عالية | فرقعة |
| CVE-2023-49668 |
A-314032846
U-2455269 * |
عالية | فرقعة |
مكوّنات Qualcomm
تؤثر هذه الثغرات الأمنية في مكوّنات Qualcomm، ويمكن الاطّلاع على تفاصيل إضافية في نشرة الأمان أو تنبيه الأمان المناسبَين من Qualcomm. تقدّم شركة Qualcomm تقييمًا لمدى خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2023-43513 |
A-303101658
QC-CR#3545432 [2] |
عالية | فرقعة |
| CVE-2023-43516 |
A-309461150
QC-CR#3536092 |
عالية | الفيديو |
| CVE-2023-43520 |
A-309461173
QC-CR#3575335 |
عالية | شبكة WLAN |
| CVE-2023-43534 |
A-309461218
QC-CR#3575491 QC-CR#3578829 |
عالية | شبكة WLAN |
مكوّنات Qualcomm المغلقة المصدر
تؤثر هذه الثغرات الأمنية في مكوّنات Qualcomm ذات المصدر المغلق، ويمكنك الاطّلاع على تفاصيل إضافية في نشرة الأمان أو تنبيه الأمان المناسبَين من Qualcomm. وتقدّم شركة Qualcomm تقييمًا لمدى خطورة هذه المشاكل مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2023-33046 |
A-295038516 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-33049 |
A-295039556 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-33057 |
A-295039728 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-33058 |
A-295038658 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-33060 |
A-295039022 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-33072 |
A-295038660 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-33076 |
A-295039588 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-43518 |
A-309460837 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-43519 |
A-309461083 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-43522 |
A-309461138 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-43523 |
A-309460866 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-43533 |
A-309461430 * | عالية | مكوّن مغلق المصدر |
| CVE-2023-43536 |
A-309461332 * | عالية | مكوّن مغلق المصدر |
الأسئلة والأجوبة الشائعة
يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذا النشرة.
1. كيف يمكنني معرفة ما إذا كان جهازي محدَّثًا لحلّ هذه المشاكل؟
للتعرّف على كيفية التحقّق من مستوى رمز تصحيح الأمان على جهاز، يمكنك الاطّلاع على المقالة التحقّق من إصدار Android وتحديثه.
- تعمل مستويات رموز تصحيح الأمان الصادرة في 2024-02-01 أو بعده على حلّ جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان الصادر في 2024-02-01.
- تعالج مستويات رمز تصحيح الأمان بتاريخ 2024-02-05 أو الإصدارات الأحدث جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان بتاريخ 2024-02-05 وجميع مستويات رموز التصحيح السابقة.
على الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة التصحيح على ما يلي:
- [ro.build.version.security_patch]:[2024-02-01]
- [ro.build.version.security_patch]:[2024-02-05]
في بعض الأجهزة التي تعمل بالإصدار 10 من نظام التشغيل Android أو الإصدارات الأحدث، سيتضمّن تحديث نظام Google Play سلسلة تاريخ تتطابق مع مستوى رمز تصحيح الأمان 2024-02-01. يُرجى الاطّلاع على هذه المقالة لمعرفة المزيد من التفاصيل حول كيفية تثبيت تحديثات الأمان.
2. لماذا يتضمّن نشرة الأمان هذه مستويَين لرمز تصحيح الأمان؟
يحتوي هذا النشرة على مستويَين لرموز تصحيح الأمان، ما يتيح لشركاء Android المرونة في إصلاح مجموعة فرعية من الثغرات الأمنية المتشابهة على جميع أجهزة Android بشكل أسرع. ننصح شركاء Android بإصلاح جميع المشاكل الواردة في هذا النشرة واستخدام أحدث مستوى من رموز تصحيح الأمان.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-02-01 جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا، بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في نشرات الأمان السابقة.
- يجب أن تتضمّن الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-02-05 أو أحدث جميع التصحيحات السارية في نشرات الأمان هذه (والنشرات السابقة).
ننصح الشركاء بتضمين حلول لجميع المشاكل التي يعالجونها في تحديث واحد.
3. ماذا تعني الإدخالات في عمود النوع؟
تشير الإدخالات في عمود النوع ضمن جدول تفاصيل الثغرة الأمنية إلى تصنيف الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز عن بُعد |
| EoP | تعلية الامتيازات |
| رقم التعريف | الإفصاح عن المعلومات |
| DoS | رفض الخدمة |
| لا ينطبق | التصنيف غير متوفّر |
4. ما المقصود بالإدخالات في عمود المراجع؟
قد تحتوي الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرات الأمنية على بادئة تحدّد المؤسسة التي تنتمي إليها قيمة المرجع.
| بادئة | مَراجع |
|---|---|
| A- | رقم تعريف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | MediaTek reference number |
| N- | الرقم المرجعي لشركة NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
| U- | الرقم المرجعي لشركة UNISOC |
5. ماذا تعني علامة النجمة (*) بجانب رقم تعريف خطأ Android في عمود المراجع؟
تحتوي المشاكل غير المتاحة للجميع على علامة النجمة (*) بجانب رقم التعريف المرجعي الخاص بها. يتضمّن آخر برنامج تشغيل ثنائي لأجهزة Pixel متاح على موقع Google Developers عادةً التحديث الخاص بهذه المشكلة.
6. لماذا يتم تقسيم الثغرات الأمنية بين هذه النشرة ونشرات الأمان الخاصة بالأجهزة أو الشركاء، مثل نشرة Pixel؟
يجب الإفصاح عن مستوى رمز تصحيح الأمان الأخير على أجهزة Android عند توثيق الثغرات الأمنية الواردة في نشرة الأمان هذه. لا يُشترط توفّر ثغرات أمنية إضافية موثّقة في نشرات الأمان الخاصة بالجهاز أو الشريك للإعلان عن مستوى رمز تصحيح الأمان. قد تنشر الشركات المصنّعة لأجهزة Android وشرائح المعالجة أيضًا تفاصيل حول الثغرات الأمنية الخاصة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung.
الإصدارات
| الإصدار | التاريخ | الملاحظات |
|---|---|---|
| 1 | 5 فبراير 2024 | تم نشر النشرة. |