04 Nisan 2016 tarihinde yayınlandı | 19 Aralık 2016'da güncellendi
Android Güvenlik Bülteni Aylık Sürüm sürecimizin bir parçası olarak kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 02 Nisan 2016 veya sonraki Güvenlik Yaması Düzeyleri bu sorunları giderir (güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın).
Ortaklara, 16 Mart 2016 veya daha önceki bir tarihte bültende açıklanan sorunlar hakkında bilgi verildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.
Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Android Güvenlik Danışma Belgesi 2016-03-18 , daha önce bir köklendirme uygulaması tarafından CVE-2015-1805'in kullanımını ele almıştı. CVE-2015-1805 , bu güncellemede çözülmüştür. Aktif müşteri istismarı veya yeni bildirilen diğer sorunların kötüye kullanıldığına dair herhangi bir rapor bulunmamaktadır. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında daha fazla ayrıntı için Azaltmalar bölümüne bakın.
Hafifletmeler
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirildi. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor ve bu da kullanıcıyı, yüklenmek üzere tespit edilen potansiyel olarak zararlı uygulamalar hakkında uyarıyor. Google Play'de cihaz köklendirme araçları yasaktır. Google Play dışından uygulama yükleyen kullanıcıları korumak için, Uygulamaları Doğrula varsayılan olarak etkindir ve kullanıcıları bilinen köklendirme uygulamaları hakkında uyarır. Doğrulama Uygulamaları, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve bu tür uygulamaları kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Android Güvenlik ekibi, katkıları için bu araştırmacılara teşekkür eder:
- Google Chrome Güvenlik Ekibinden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- CENSUS SA'dan Anestis Bechtsoudis ( @anestisb ): CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Google Telekom Ekibinden Brad Ebinger ve Santos Cordon: CVE-2016-0847
- Dominik Schürmann, İşletim Sistemleri ve Bilgisayar Ağları Enstitüsü , TU Braunschweig: CVE-2016-2425
- IceSword Lab'den Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ), Qihoo 360: CVE-2016-0844
- École polytechnique fédérale de Lozan'dan George Piskas : CVE-2016-2426
- Qihoo 360 Technology Co.Ltd'den Guang Gong (龚广) ( @oldfresher ) : CVE-2016-2412, CVE-2016-2416
- Google Project Zero'dan James Forshaw: CVE-2016-2417, CVE-2016-0846
- IceSword Lab'den Jianqiang Zhao( @jianqiangzhao ), pjf ve Gengjia Chen ( @chengjia4574 ), Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab'den pjf , Qihoo 360: CVE-2016-2409
- Vertu Corporation LTD'den Nancy Wang: CVE-2016-0837
- Nasim Zamir : CVE-2016-2409
- Qualcomm Ürün Güvenliği Girişimi'nden Nico Golde ( @iamnion ): CVE-2016-2420, CVE-2016-0849
- Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- MWR Laboratuvarlarından Romain Trouvé : CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Android Güvenliğinden Vishwath Mohan: CVE-2016-2424
- Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-2414
- Trend Micro Inc.'den Wish Wu ( @wish_wu ): CVE-2016-0843
- Indiana Üniversitesi Bloomington'dan Yeonjoon Lee ve Xiaofeng Wang , Pekin Üniversitesi'nden Tongxin Li ve Xinhui Han : CVE-2016-0848
Android Güvenlik ekibi ayrıca C0RE Ekibi ve Zimperium'dan Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang'a CVE-2015-1805'e katkılarından dolayı teşekkür eder.
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümler, 2016-04-02 yama düzeyi için geçerli olan güvenlik açıklarının her birinin ayrıntılarını içerir. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili hata, önem derecesi, etkilenen sürümler ve rapor edilen tarihi içeren bir tablo vardır. Uygun olduğunda, sorunu gideren AOSP taahhüdünü hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları, hata kimliğini izleyen sayılara bağlanır.
DHCPCD'de Uzaktan Kod Yürütme Güvenlik Açığı
Dinamik Ana Bilgisayar Yapılandırma Protokolü hizmetindeki bir güvenlik açığı, bir saldırganın bellek bozulmasına neden olarak uzaktan kod yürütülmesine neden olabilir. Bu sorun, DHCP istemcisi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. DHCP hizmetinin, üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
| CVE | AOSP bağlantılarıyla ilgili hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | kritik | 4.4.4 | 30 Temmuz 2014 |
| CVE-2014-6060 | ANDROID-16677003 | kritik | 4.4.4 | 30 Temmuz 2014 |
| CVE-2016-1503 | ANDROID-26461634 | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 Ocak 2016 |
Medya Codec Bileşeninde Uzaktan Kod Yürütme Güvenlik Açığı
Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, medya sunucusu tarafından kullanılan bir medya codec bileşenindeki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra, üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | kritik | 6.0, 6.0.1 | 16 Ara 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, medya sunucusundaki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra, üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
| CVE | AOSP bağlantılarıyla ilgili hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [ 2 ] | kritik | 6.0, 6.0.1 | 6 Ara 2015 |
| CVE-2016-0836 | ANDROID-25812590 | kritik | 6.0, 6.0.1 | 19 Kasım 2015 |
| CVE-2016-0837 | ANDROID-27208621 | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Şubat 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
| CVE-2016-0839 | ANDROID-25753245 | kritik | 6.0, 6.0.1 | Google Dahili |
| CVE-2016-0840 | ANDROID-26399350 | kritik | 6.0, 6.0.1 | Google Dahili |
| CVE-2016-0841 | ANDROID-26040840 | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
libstagefright'ta Uzaktan Kod Yürütme Güvenlik Açığı
Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, libstagefright'taki güvenlik açıkları, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra, üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | kritik | 6.0, 6.0.1 | 23 Kasım 2015 |
Çekirdekte Ayrıcalık Yükseltme Güvenlik Açığı
Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek içinde rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı bir aygıt ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden başlatılmasıyla aygıtın onarılması gerekebilir. Bu sorun Android Güvenlik Danışma Belgesi 2016-03-18'de açıklanmıştır .
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 Şubat 2016 |
* AOSP'deki yama belirli çekirdek sürümleri için mevcuttur: 3.14 , 3.10 ve 3.4 .
Qualcomm Performans Modülünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm'un ARM işlemcileri için performans olay yöneticisi bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek içinde rastgele kod yürütmesini sağlayabilir. Bu sorun, yerel kalıcı bir aygıt ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden başlatılmasıyla aygıtın onarılması gerekebilir.
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | kritik | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 Kasım 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm RF bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm RF sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir güvenlik açığı bulunmaktadır. Bu sorun, yerel kalıcı bir aygıt ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden başlatılmasıyla aygıtın onarılması gerekebilir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | kritik | 6.0, 6.0.1 | 25 Aralık 2015 |
* Bu sorun için ek bir yama, Linux yukarı akışında bulunur.
Çekirdekte Ayrıcalık Yükseltme Güvenlik Açığı
Ortak çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdekte rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı bir aygıt ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir ve muhtemelen işletim sisteminin yeniden başlatılmasıyla aygıtın onarılması gerekebilir.
| CVE | AOSP bağlantılarıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | kritik | 6.0, 6.0.1 | 25 Aralık 2015 |
IMemory Yerel Arabiriminde Ayrıcalık Yükselmesi Güvenlik Açığı
IMemory Yerel Arabirimindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Yüksek | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Oca 2016 |
Telekom Bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı
Telekom Bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, bir saldırganın aramaları herhangi bir rastgele numaradan geliyormuş gibi göstermesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabildiğinden, Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantılarıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | Yüksek | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
İndirme Yöneticisinde Ayrıcalık Yükselmesi Güvenlik Açığı
İndirme Yöneticisi'ndeki bir ayrıcalık yükselmesi güvenlik açığı, bir saldırganın özel depolama alanındaki yetkisiz dosyalara erişmesine olanak sağlayabilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabildiğinden, Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Yüksek | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Aralık 2015 |
Kurtarma Prosedüründe Ayrıcalık Yükseltme Güvenlik Açığı
Kurtarma Prosedüründeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Yüksek | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Şub 2016 |
Bluetooth'ta Ayrıcalık Yükselmesi Güvenlik Açığı
Bluetooth'taki bir ayrıcalık yükselmesi güvenlik açığı, ilk eşleştirme işlemi sırasında güvenilmeyen bir cihazın telefonla eşleşmesine olanak verebilir. Bu, İnternet bağlantısı gibi cihaz kaynaklarına yetkisiz erişime neden olabilir. Bu sorun, güvenilmeyen cihazlar tarafından erişilemeyen yükseltilmiş yetenekler elde etmek için kullanılabileceğinden, Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Yüksek | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 Ocak 2016 |
Texas Instruments Haptic Driver'da Ayrıcalık Yükselmesi Güvenlik Açığı
Texas Instruments dokunsal çekirdek sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir ayrıcalık yükselmesi güvenlik açığı bulunmaktadır. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak önce sürücüyü çağırabilen bir hizmetten ödün verilmesini gerektirdiğinden, bunun yerine Yüksek önem derecesi olarak derecelendirilir.
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Yüksek | 6.0, 6.0.1 | 25 Aralık 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Video Çekirdeği Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm video çekirdeği sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir ayrıcalık yükselmesi güvenlik açığı bulunmaktadır. Normalde bir çekirdek kodu yürütme güvenlik açığı Kritik olarak derecelendirilir, ancak önce sürücüyü çağırabilen bir hizmetten ödün verilmesini gerektirdiğinden bunun yerine Yüksek önem derecesi olarak derecelendirilir.
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Yüksek | 6.0, 6.0.1 | 21 Aralık 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Güç Yönetimi bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm Power Management çekirdek sürücüsünde, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilecek bir ayrıcalık yükselmesi güvenlik açığı bulunmaktadır. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak önce cihazdan ödün verilmesini ve köke yükseltilmesini gerektirdiğinden, bunun yerine Yüksek önem derecesi olarak derecelendirilir.
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Yüksek | 6.0, 6.0.1 | 28 Ocak 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
System_server'da Ayrıcalık Yükselmesi Güvenlik Açığı
System_server'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Yüksek | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 Oca 2016 |
Mediaserver'da Ayrıcalık Yükselmesi Güvenlik Açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Yüksek | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Ocak 2016 |
Minikin'de Hizmet Reddi Güvenlik Açığı
Minikin kitaplığındaki bir hizmet reddi güvenlik açığı, yerel bir saldırganın etkilenen bir aygıta erişimi geçici olarak engellemesine olanak verebilir. Saldırgan, güvenilmeyen bir yazı tipinin yüklenmesine neden olabilir ve Minikin bileşeninde bir çökmeye neden olan bir taşmaya neden olabilir. Hizmet Reddi, sürekli bir yeniden başlatma döngüsüne yol açacağından bu, Yüksek önem derecesi olarak derecelendirilir.
| CVE | AOSP bağlantılarıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | Yüksek | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Kasım 2015 |
Exchange ActiveSync'te Bilginin Açığa Çıkması Güvenlik Açığı
Exchange ActiveSync'teki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın kullanıcının özel bilgilerine erişmesine olanak sağlayabilir. Bu sorun, korunan verilere uzaktan erişime izin verdiği için Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Yüksek | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Ocak 2016 |
Mediaserver'da Bilgi İfşası Güvenlik Açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, saldırganların platformdan yararlanmasını zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebilir. Bu sorunlar, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmza veya Sistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildikleri için Yüksek önem derecesi olarak derecelendirilir.
| CVE | AOSP bağlantılarıyla ilgili hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | Yüksek | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Şub 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Yüksek | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 Şubat 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Yüksek | 6.0, 6.0.1 | 24 Aralık 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Yüksek | 6.0, 6.0.1 | 24 Aralık 2015 |
Debuggerd Bileşeninde Ayrıcalık Yükselmesi Güvenlik Açığı
Debuggerd bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, kalıcı bir aygıt güvenliğinin ihlal edilmesine yol açabilecek rastgele kod yürütmesine olanak verebilir. Sonuç olarak, işletim sisteminin yeniden yanıp sönmesiyle aygıtın onarılması gerekebilir. Normalde bunun gibi bir kod yürütme hatası Kritik olarak derecelendirilir, ancak yalnızca Android sürüm 4.4.4'te sistemden köke bir ayrıcalık yükselmesine olanak sağladığından, bunun yerine Orta olarak derecelendirilir. Android 5.0 ve üzeri sürümlerde, SELinux kuralları, üçüncü taraf uygulamaların etkilenen koda ulaşmasını engeller.
| CVE | AOSP bağlantılarıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | Ilıman | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Ocak 2016 |
Kurulum Sihirbazında Ayrıcalık Yükselmesi Güvenlik Açığı
Kurulum Sihirbazı'ndaki bir güvenlik açığı, bir saldırganın Fabrika Ayarlarına Sıfırlama Korumasını atlamasına ve aygıta erişmesine izin verebilir. Bu, bir aygıta fiziksel erişimi olan birinin, bir saldırganın tüm verileri silerek bir aygıtı başarıyla sıfırlamasını sağlayacak olan Fabrika Ayarlarına Sıfırlama Korumasını atlamasına olanak tanıdığından, Orta önem derecesi olarak derecelendirilmiştir.
| CVE | Böcek | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Ilıman | 5.1.1, 6.0, 6.0.1 | Google Dahili |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazları için en son ikili sürümde yer almaktadır.
Wi-Fi'de Ayrıcalık Yükselmesi Güvenlik Açığı
Wi-Fi'de bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden, Orta önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Ilıman | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Aralık 2015 |
Telefonda Ayrıcalık Yükselmesi Güvenlik Açığı
Telefondaki bir güvenlik açığı, bir saldırganın Fabrika Ayarlarına Sıfırlama Korumasını atlamasına ve aygıta erişmesine olanak verebilir. Bu, bir aygıta fiziksel erişimi olan birinin, bir saldırganın tüm verileri silerek bir aygıtı başarıyla sıfırlamasını sağlayacak olan Fabrika Ayarlarına Sıfırlama Korumasını atlamasına olanak tanıdığından, Orta önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Ilıman | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
SyncStorageEngine'de Hizmet Reddi Güvenlik Açığı
SyncStorageEngine'deki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın yeniden başlatma döngüsüne neden olmasını sağlayabilir. Bu sorun, muhtemelen fabrika ayarlarına sıfırlama yoluyla düzeltilmesi gerekebilecek yerel bir geçici hizmet reddine neden olmak için kullanılabildiğinden, Orta önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Ilıman | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
AOSP Mail'de Bilginin Açığa Çıkması Güvenlik Açığı
AOSP Mail'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın bir kullanıcının özel bilgilerine erişmesine olanak sağlayabilir. Bu sorun, uygunsuz bir şekilde "tehlikeli" izinler almak için kullanılabileceğinden, Orta önem derecesi olarak derecelendirilmiştir.
| CVE | AOSP bağlantısıyla ilgili hatalar | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Ilıman | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 Oca 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Ilıman | 5.0.2 | 29 Oca 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazları için en son ikili sürümde yer almaktadır.
Çerçevede Bilgi İfşası Güvenlik Açığı
Framework bileşenindeki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak uygunsuz bir şekilde erişmek için kullanılabileceğinden Orta önem derecesine sahiptir.
| CVE | AOSP bağlantısıyla ilgili hata | önem | Güncellenmiş sürümler | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Ilıman | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 Ara 2015 |
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek yaygın soruların yanıtlarını gözden geçirmektedir.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
2 Nisan 2016 veya sonraki Güvenlik Yaması Düzeyleri bu sorunları giderir (güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın). Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-04-02]
2. Bu Güvenlik Yaması Seviyesi Neden 2 Nisan 2016?
Aylık güvenlik güncellemesi için Güvenlik Düzeltme Eki Düzeyi normalde ayın ilk gününe ayarlanır. Nisan ayı için, 1 Nisan 2016 Güvenlik Düzeltme Eki Düzeyi, Android Güvenlik Danışma Belgesi 2016-03-18'de açıklandığı gibi CVE-2015-1805 dışında bu bültende açıklanan tüm sorunların giderildiğini gösterir. 2 Nisan 2016 tarihli Güvenlik Düzeltme Eki Düzeyi, Android Güvenlik Danışma Belgesi 2016-03-18'de açıklanan CVE-2015-1805 dahil olmak üzere bu bültende açıklanan tüm sorunların giderildiğini gösterir.
Revizyonlar
- 04 Nisan 2016: Bülten yayınlandı.
- 06 Nisan 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
- 07 Nisan 2016: Bülten, ek bir AOSP bağlantısı içerecek şekilde revize edildi.
- 11 Temmuz 2016: CVE-2016-2427'nin güncellenmiş açıklaması.
- 01 Ağustos 2016: CVE-2016-2427'nin güncellenmiş açıklaması
- 19 Aralık 2016: Geri alınan CVE-2016-2427'yi kaldırmak için güncellendi.