Android Güvenlik Bülteni—Mayıs 2016

02 Mayıs 2016 tarihinde yayınlandı | 04 Mayıs 2016 güncellendi

Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 01 Mayıs 2016 veya sonraki Güvenlik Yaması Düzeyleri bu sorunları giderir (güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın).

Ortaklar, bültende açıklanan sorunlar hakkında 04 Nisan 2016 veya daha önce bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.

Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.

Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google Hizmet Azaltıcıları bölümüne bakın.

Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Daha geniş bir odağı yansıtmak için bu bülteni (ve serideki tüm takip edenleri) Android Güvenlik Bülteni olarak yeniden adlandırdık. Bu bültenler, Nexus cihazlarını etkilemeseler bile Android cihazlarını etkileyebilecek daha geniş bir güvenlik açığı yelpazesini kapsar.
  • Android Güvenlik önem derecelerini güncelledik. Bu değişiklikler, rapor edilen güvenlik açıkları hakkında son altı ay içinde toplanan verilerin sonucuydu ve önem derecelerini gerçek dünyadaki kullanıcılar üzerindeki etkilerle daha yakından uyumlu hale getirmeyi amaçlıyor.

Android ve Google Hizmet Azaltıcıları

Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı mediaserver gibi işlemlere otomatik olarak iletmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:

  • Google Chrome Güvenlik Ekibinden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-2454
  • e2e- assure'dan Andy Tyler ( @ticarpi ) : CVE-2016-2457
  • C0RE Ekibinden Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang: CVE-2016-2441, CVE-2016-2442
  • Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • Gal Beniamini: CVE-2016-2431
  • Vulpecker Ekibinden Hao Chen, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Bir FireEye şirketi olan Mandiant'tan Jake Valletta: CVE-2016-2060
  • IceSword Lab, Qihoo 360 Technology Co. Ltd'den Jianqiang Zhao ( @jianqiangzhao ) ve pjf ( weibo.com/jfpan ): CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
  • Search-Lab Ltd.'den Imre Rad : CVE-2016-4477
  • Google'dan Jeremy C. Joslin: CVE-2016-2461
  • Google'ın Kenny Kökü: CVE-2016-2462
  • KeenLab'dan Marco Grassi ( @marcograss ) ( @keen_lab ), Tencent: CVE-2016-2443
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
  • C0RE Ekibinden Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang : CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-2459, CVE-2016-2460
  • Alibaba Inc.'in Weichao Sun ( @sunblate ) : CVE-2016-2428, CVE-2016-2429
  • Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-2437
  • Baidu X-Lab'dan Yulong Zhang ve Tao (Lenx) Wei: CVE-2016-2439
  • Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-2430

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2016-05-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili hata, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve bildirilen tarihi içeren bir tablo vardır. Uygun olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları, hata kimliğini izleyen sayılara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı

Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, medya sunucusundaki bir güvenlik açığı, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.

Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra, üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE Android hataları önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2428 26751339 kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 Oca 2016
CVE-2016-2429 27211885 kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 Şub 2016

Debuggerd'da Ayrıcalık Yükselmesi Güvenlik Açığı

Entegre Android hata ayıklayıcısındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Android hata ayıklayıcı bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2430 27299236 kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 Şubat 2016

Qualcomm TrustZone'da Ayrıcalık Yükselmesi Güvenlik Açığı

Qualcomm TrustZone bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, güvenli bir yerel kötü amaçlı uygulamanın TrustZone çekirdeği bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Android hataları önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2431 24968809* kritik Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15 Ekim 2015
CVE-2016-2432 25913059* kritik Nexus 6, Android Bir 28 Kasım 2015

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliğinin ihlal edilmesine yol açan yerel bir ayrıcalık yükseltme ve rastgele kod yürütme olasılığı nedeniyle bu sorun, Kritik önem derecesi olarak derecelendirilmiştir.

CVE Android hataları önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2015-0569 26754117* kritik Nexus 5X, Nexus 7 (2013) 23 Oca 2016
CVE-2015-0570 26764809* kritik Nexus 5X, Nexus 7 (2013) 25 Oca 2016

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

NVIDIA Video Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Android hataları önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2434 27251090* kritik Bağlantı Noktası 9 17 Şubat 2016
CVE-2016-2435 27297988* kritik Bağlantı Noktası 9 20 Şubat 2016
CVE-2016-2436 27299111* kritik Bağlantı Noktası 9 22 Şubat 2016
CVE-2016-2437 27436822* kritik Bağlantı Noktası 9 1 Mart 2016

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdekte Ayrıcalık Yükseltme Güvenlik Açığı

Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel bir ayrıcalık yükseltme ve rasgele kod yürütme olasılığı nedeniyle, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliğinin ihlal edilmesine yol açma olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Bu sorun Android Güvenlik Danışma Belgesi 2016-03-18'de açıklanmıştır .

CVE Android hatası önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2015-1805 27275324* kritik Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19 Şub 2016

* AOSP'deki yama belirli çekirdek sürümleri için mevcuttur: 3.14 , 3.10 ve 3.4 .

Çekirdekte Uzaktan Kod Yürütme Güvenlik Açığı

Ses alt sistemindeki bir uzaktan kod yürütme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak ses alt sistemini çağırmak için öncelikle ayrıcalıklı bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2438 26636060* Yüksek Bağlantı Noktası 9 Google Dahili

* Bu sorunla ilgili yama, Linux yukarı akışında mevcuttur.

Qualcomm Tethering Controller'da Bilginin Açığa Çıkması Güvenlik Açığı

Qualcomm Tethering denetleyicisindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, ayrıcalıklar olmadan kişisel tanımlanabilir bilgilere erişmesine izin verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden, Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2060 27942588* Yüksek Hiçbiri 23 Mart 2016

* Bu sorun için yama AOSP'de değil. Güncelleme, etkilenen cihazların en son sürücülerinde yer almalıdır.

Bluetooth'ta Uzaktan Kod Yürütme Güvenlik Açığı

Bir Bluetooth cihazının eşleştirilmesi sırasında, Bluetooth'taki bir güvenlik açığı, yakın bir saldırganın eşleştirme işlemi sırasında rastgele kod yürütmesine izin verebilir. Bu sorun, bir Bluetooth cihazının başlatılması sırasında uzaktan kod yürütme olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2439 27411268 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Şubat 2016

Binder'da Ayrıcalık Yükselmesi Güvenlik Açığı

Binder'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın başka bir uygulamanın süreci bağlamında rasgele kod yürütmesine izin verebilir. Belleği boşaltırken, Bağlayıcıdaki bir güvenlik açığı, bir saldırganın yerel kod yürütülmesine neden olmasına izin verebilir. Bu sorun, Ciltçideki boş bellek işlemi sırasında yerel kod yürütme olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2440 27252896 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18 Şubat 2016

Qualcomm Buspm Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

Qualcomm buspm sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilen bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hataları önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2441 26354602* Yüksek Nexus 5X, Nexus 6, Nexus 6P 30 Ara 2015
CVE-2016-2442 26494907* Yüksek Nexus 5X, Nexus 6, Nexus 6P 30 Ara 2015

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm MDP Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

Qualcomm MDP sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilen bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2443 26404525* Yüksek Nexus 5, Nexus 7 (2013) 5 Ocak 2016

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

Qualcomm Wi-Fi bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, ayrıcalıklar olmadan cihaz ayarlarını ve davranışını değiştirerek sistem çağrıları başlatmasını sağlayabilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabildiğinden, Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2015-0571 26763920* Yüksek Nexus 5X, Nexus 7 (2013) 25 Oca 2016

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

NVIDIA Video Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

NVIDIA medya sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırmak için yüksek ayrıcalıklı bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hataları önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2444 27208332* Yüksek Bağlantı Noktası 9 16 Şub 2016
CVE-2016-2445 27253079* Yüksek Bağlantı Noktası 9 17 Şubat 2016
CVE-2016-2446 27441354* Yüksek Bağlantı Noktası 9 1 Mart 2016

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Wi-Fi'de Ayrıcalık Yükselmesi Güvenlik Açığı

Wi-Fi'de bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildiğinden, Yüksek önem derecesi olarak derecelendirilmiştir.

Not :CVE numarası, MITRE isteğine göre CVE-2016-2447'den CVE-2016-4477'ye güncellendi.

CVE Android hatası önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-4477 27371366 [ 2 ] Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 Şubat 2016

Mediaserver'da Ayrıcalık Yükselmesi Güvenlik Açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hataları önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2448 27533704 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Mart 2016
CVE-2016-2449 27568958 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 Mart 2016
CVE-2016-2450 27569635 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 Mart 2016
CVE-2016-2451 27597103 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 Mart 2016
CVE-2016-2452 27662364 [ 2 ] [ 3 ] Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 Mart 2016

MediaTek Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilen bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2453 27549705* Yüksek Android Bir 8 Mart 2016

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm Donanım Codec Bileşeninde Uzaktan Hizmet Reddi Güvenlik Açığı

Özel hazırlanmış bir dosyanın medya dosyası ve veri işlemesi sırasında, Qualcomm donanım video codec bileşenindeki uzaktan hizmet reddi güvenlik açığı, uzaktaki bir saldırganın, aygıtın yeniden başlatılmasına neden olarak etkilenen bir aygıta erişimi engellemesine olanak verebilir. Bu, uzaktan hizmet reddi olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2454 26221024* Yüksek Nexus 5 16 Ara 2015

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Conscrypt'te Ayrıcalık Yükselmesi Güvenlik Açığı

Conscrypt'teki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir uygulamanın bir iletinin kimliğinin doğrulanmadığı halde doğrulandığına inanmasına olanak verebilir. Bu sorun, birden çok cihaz arasında koordineli adımlar gerektirdiğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE Android hataları önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2461 27324690 [ 2 ] Ilıman Tüm Bağlantılar 6.0, 6.0.1 Google Dahili
CVE-2016-2462 27371173 Ilıman Tüm Bağlantılar 6.0, 6.0.1 Google Dahili

OpenSSL ve BoringSSL'de Ayrıcalık Yükselmesi Güvenlik Açığı

OpenSSL ve BoringSSL'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Normalde bu, Yüksek olarak derecelendirilir, ancak olağandışı bir manuel yapılandırma gerektirdiğinden, Orta önem derecesi olarak derecelendirilir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-0705 27449871 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Şubat 2016

MediaTek Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı

MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın hizmet reddine neden olmasına olanak verebilir. Normalde bunun gibi bir ayrıcalık yükseltme hatası Yüksek olarak derecelendirilir, ancak önce bir sistem hizmetinden ödün verilmesini gerektirdiğinden, Orta önem derecesinde derecelendirilir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2456 27275187* Ilıman Android Bir 19 Şub 2016

* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Wi-Fi'de Ayrıcalık Yükselmesi Güvenlik Açığı

Wi-Fi'de bir ayrıcalık yükselmesi güvenlik açığı, konuk hesabının birincil kullanıcı için geçerli olan Wi-Fi ayarlarını değiştirmesine olanak verebilir. Bu sorun, " tehlikeli " yeteneklere izinsiz olarak yerel erişim sağladığından, Orta önem derecesi olarak derecelendirilmiştir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2457 27411179 Ilıman Tüm Bağlantılar 5.0.2, 5.1.1, 6.0, 6.0.1 29 Şub 2016

AOSP Mail'de Bilginin Açığa Çıkması Güvenlik Açığı

AOSP Mail'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın kullanıcının özel bilgilerine erişmesine olanak sağlayabilir. Bu sorun, verilere izinsiz olarak uygunsuz bir şekilde erişmek için kullanılabileceğinden Orta önem derecesine sahiptir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2458 27335139 [ 2 ] Ilıman Tüm Bağlantılar 5.0.2, 5.1.1, 6.0, 6.0.1 23 Şubat 2016

Mediaserver'da Bilgi İfşası Güvenlik Açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak uygunsuz bir şekilde erişmek için kullanılabileceğinden, Orta önem derecesinde derecelendirilmiştir.

CVE Android hataları önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2459 27556038 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Mart 2016
CVE-2016-2460 27555981 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Mart 2016

Çekirdekte Hizmet Reddi Güvenlik Açığı

Çekirdekteki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın aygıtın yeniden başlatılmasına neden olmasına izin verebilir. Etkisi geçici bir hizmet reddi olduğundan, bu sorun Düşük önem derecesi olarak derecelendirilmiştir.

CVE Android hatası önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-0774 27721803* Düşük Tüm Bağlantılar 17 Mart 2016

* Bu sorunla ilgili yama, Linux yukarı akışında mevcuttur.

Genel Sorular ve Cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek yaygın soruların yanıtlarını gözden geçirmektedir.

1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?

01 Mayıs 2016 veya sonraki Güvenlik Yaması Düzeyleri bu sorunları giderir (güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın). Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-05-01]

2. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?

Güvenlik Açığı Ayrıntıları bölümünde, her tabloda, her sorun için güncellenen etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:

  • Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa tablonun Güncellenmiş Nexus cihazları sütununda Tüm Nexus'lar olacaktır. Tüm Nexus'lar şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
  • Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa, etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
  • Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmiyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.

3. CVE-2015-1805 neden bu bültene dahil edilmiştir?

CVE-2015-1805, Android Güvenlik Danışmanlığı—2016-03-18 Nisan bülteninin yayınlanmasına çok yakın bir zamanda yayınlandığı için bu bültene dahil edilmiştir. Sıkı zaman çizelgesi nedeniyle, cihaz üreticilerine 01 Nisan 2016 Güvenlik Yaması Düzeyini kullanmaları durumunda Nexus Güvenlik Bülteni - Nisan 2016'daki düzeltmeleri CVE-2015-1805 düzeltmesi olmadan gönderme seçeneği verildi. 01 Mayıs 2016 Güvenlik Yaması Düzeyinin kullanılması için düzeltilmesi gerektiği için bu bültende tekrar yer almaktadır.

Revizyonlar

  • 02 Mayıs 2016: Bülten yayınlandı.
  • 04 Mayıs 2016:
    • Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
    • Nexus Player ve Pixel C'yi içerecek şekilde güncellenen tüm Nexus cihazlarının listesi.
    • CVE-2016-2447, MITRE isteği başına CVE-2016-4477 olarak güncellendi.