Yayınlanma Tarihi 02 Mayıs 2016 | Güncellenme tarihi: 04 Mayıs 2016
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 01 Mayıs 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir (güvenlik düzeltme eki düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın).
Bültende açıklanan hususlarla ilgili olarak ortaklara 04 Nisan 2016 veya öncesinde bilgi verilmiştir. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.
Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.
Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google Hizmeti Azaltmalar bölümüne bakın.
Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Daha geniş bir odağı yansıtmak için bu bültenin (ve serideki tüm takip edenlerin) adını Android Güvenlik Bülteni olarak yeniden adlandırdık. Bu bültenler, Nexus cihazlarını etkilemese bile Android cihazları etkileyebilecek daha geniş bir güvenlik açıkları yelpazesini kapsamaktadır.
- Android Güvenliği önem derecelerini güncelledik. Bu değişiklikler, rapor edilen güvenlik açıklarına ilişkin son altı ayda toplanan verilerin sonucudur ve ciddiyet düzeylerini gerçek dünyadaki kullanıcılara yönelik etkilerle daha uyumlu hale getirmeyi amaçlamaktadır.
Android ve Google Hizmeti Azaltımları
Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medya sunucusu gibi işlemlere otomatik olarak medya aktarmamaktadır.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür ederiz:
- Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-2454
- e2e-assure'dan Andy Tyler ( @ticarpi ): CVE-2016-2457
- Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-2441, CVE-2016-2442
- Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
- Gal Beniamini: CVE-2016-2431
- Vulpecker Ekibinden Hao Chen, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
- Bir FireEye şirketi olan Mandiant'tan Jake Valletta: CVE-2016-2060
- IceSword Lab'den Jianqiang Zhao ( @jianqiangzhao ) ve pjf ( weibo.com/jfpan ), Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
- Search-Lab Ltd.'den Imre Rad: CVE-2016-4477
- Google'dan Jeremy C. Joslin: CVE-2016-2461
- Google'ın Kenny Kökü: CVE-2016-2462
- KeenLab'dan Marco Grassi ( @marcograss ) ( @keen_lab ), Tencent: CVE-2016-2443
- Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
- Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-2459, CVE-2016-2460
- Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-2428, CVE-2016-2429
- C0RE Ekibinden Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang: CVE-2016-2437
- Baidu X-Lab'dan Yulong Zhang ve Tao (Lenx) Wei: CVE-2016-2439
- Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-2430
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 2016-05-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili hatayı, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki bir güvenlik açığı, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.
Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Mediaserver hizmetinin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Ocak 2016 |
| CVE-2016-2429 | 27211885 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Şubat 2016 |
Hata Ayıklayıcıda Ayrıcalık Güvenlik Açığı Yükselişi
Entegre Android hata ayıklayıcısındaki ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Android hata ayıklayıcı bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, cihazın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Şubat 2016 |
Qualcomm TrustZone'da Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm TrustZone bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, güvenli bir yerel kötü amaçlı uygulamanın TrustZone çekirdeği bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, cihazın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | Kritik | Nexus 5, Nexus 6, Nexus 7 (2013), Android One | 15 Ekim 2015 |
| CVE-2016-2432 | 25913059* | Kritik | Nexus 6, Android Bir | 28 Kasım 2015 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığına yol açan yerel ayrıcalık artışı ve rastgele kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | Kritik | Nexus 5X, Nexus 7 (2013) | 23 Ocak 2016 |
| CVE-2015-0570 | 26764809* | Kritik | Nexus 5X, Nexus 7 (2013) | 25 Ocak 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
NVIDIA Video Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | Kritik | Nexus 9 | 17 Şubat 2016 |
| CVE-2016-2435 | 27297988* | Kritik | Nexus 9 | 20 Şubat 2016 |
| CVE-2016-2436 | 27299111* | Kritik | Nexus 9 | 22 Şubat 2016 |
| CVE-2016-2437 | 27436822* | Kritik | Nexus 9 | 1 Mart 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdekte Ayrıcalık Güvenlik Açığı Yükselişi
Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, yerel ayrıcalık artışı ve keyfi kod yürütme olasılığı nedeniyle, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığına yol açması olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Bu sorun Android Güvenlik Danışma Belgesi 2016-03-18'de açıklanmıştır.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | Kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 | 19 Şubat 2016 |
* AOSP'deki yama belirli çekirdek sürümleri için mevcuttur: 3.14 , 3.10 ve 3.4 .
Çekirdekte Uzaktan Kod Yürütme Güvenlik Açığı
Ses alt sistemindeki bir uzaktan kod yürütme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak ses alt sistemini çağırmak için öncelikle ayrıcalıklı bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | Yüksek | Nexus 9 | Google Dahili |
* Bu sorunun yaması Linux'un yukarı akışında mevcuttur.
Qualcomm Tethering Controller'da Bilgi İfşası Güvenlik Açığı
Qualcomm Tethering denetleyicisindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, ayrıcalıklara sahip olmadan kişisel tanımlanabilir bilgilere erişmesine izin verebilir. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | Yüksek | Hiçbiri | 23 Mart 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, etkilenen cihazların en son sürücülerinde bulunmalıdır.
Bluetooth'ta Uzaktan Kod Yürütme Güvenlik Açığı
Bir Bluetooth cihazının eşleştirilmesi sırasında, Bluetooth'taki bir güvenlik açığı, yakınsal bir saldırganın eşleştirme işlemi sırasında rastgele kod çalıştırmasına izin verebilir. Bu sorun, Bluetooth aygıtının başlatılması sırasında uzaktan kod yürütülmesi olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Şubat 2016 |
Binder'da Ayrıcalık Güvenlik Açığı Yükselişi
Binder'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, başka bir uygulamanın süreci bağlamında rastgele kod yürütmesine izin verebilir. Bellekte yer açarken Binder'daki bir güvenlik açığı, bir saldırganın yerel kod yürütülmesine neden olmasına olanak verebilir. Bu sorun, Ciltleyicideki boş bellek işlemi sırasında yerel kod yürütme olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 18 Şubat 2016 |
Qualcomm Buspm Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm buspm sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | Yüksek | Nexus 5X, Nexus 6, Nexus 6P | 30 Aralık 2015 |
| CVE-2016-2442 | 26494907* | Yüksek | Nexus 5X, Nexus 6, Nexus 6P | 30 Aralık 2015 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm MDP Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm MDP sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | Yüksek | Nexus 5, Nexus 7 (2013) | 5 Ocak 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm Wi-Fi bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, ayrıcalıklara sahip olmadan cihaz ayarlarını ve davranışını değiştiren sistem çağrılarını başlatmasına olanak tanıyabilir. Bu sorun, üçüncü taraf bir uygulamanın erişemediği İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | Yüksek | Nexus 5X, Nexus 7 (2013) | 25 Ocak 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
NVIDIA Video Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
NVIDIA medya sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırmak için yüksek ayrıcalıklı bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | Yüksek | Nexus 9 | 16 Şubat 2016 |
| CVE-2016-2445 | 27253079* | Yüksek | Nexus 9 | 17 Şubat 2016 |
| CVE-2016-2446 | 27441354* | Yüksek | Nexus 9 | 1 Mart 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Wi-Fi'de Ayrıcalık Güvenlik Açığının Yükselmesi
Wi-Fi'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
Not :CVE numarası, MITRE talebi üzerine CVE-2016-2447'den CVE-2016-4477'ye güncellendi.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [ 2 ] | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Şubat 2016 |
Mediaserver'da Ayrıcalık Güvenlik Açığı Yükselişi
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mart 2016 |
| CVE-2016-2449 | 27568958 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Mart 2016 |
| CVE-2016-2450 | 27569635 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Mart 2016 |
| CVE-2016-2451 | 27597103 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Mart 2016 |
| CVE-2016-2452 | 27662364 [ 2 ] [ 3 ] | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mart 2016 |
MediaTek Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | Yüksek | Android Bir | 8 Mart 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Donanım Codec'inde Uzaktan Hizmet Reddi Güvenlik Açığı
Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, Qualcomm donanım video codec bileşenindeki uzaktan hizmet reddi güvenlik açığı, uzaktaki bir saldırganın, cihazın yeniden başlatılmasına neden olarak etkilenen cihaza erişimi engellemesine olanak tanıyabilir. Bu, uzaktan hizmet reddi olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | Yüksek | Nexus 5 | 16 Aralık 2015 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Conscrypt'te Ayrıcalık Güvenlik Açığı Yükselişi
Conscrypt'teki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir uygulamanın, bir mesajın kimliğinin doğrulanmadığı halde doğrulandığına inanmasına izin verebilir. Bu sorun, birden fazla cihazda koordineli adımlar gerektirdiğinden Orta önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [ 2 ] | Ilıman | Tüm Nexus'lar | 6.0, 6.0.1 | Google Dahili |
| CVE-2016-2462 | 27371173 | Ilıman | Tüm Nexus'lar | 6.0, 6.0.1 | Google Dahili |
OpenSSL ve BoringSSL'de Ayrıcalık Güvenlik Açığı Yükselişi
OpenSSL ve BoringSSL'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Normalde bu durum Yüksek olarak derecelendirilir, ancak alışılmadık bir manuel yapılandırma gerektirdiğinden Orta önem derecesi olarak derecelendirilir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Şubat 2016 |
MediaTek Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın hizmet reddine neden olmasına olanak verebilir. Normalde bunun gibi bir ayrıcalık yükseltme hatası Yüksek olarak derecelendirilir, ancak öncelikle bir sistem hizmetinden ödün verilmesini gerektirdiğinden, Orta önem derecesi olarak derecelendirilir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | Ilıman | Android Bir | 19 Şubat 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Wi-Fi'de Ayrıcalık Güvenlik Açığının Yükselmesi
Wi-Fi'de ayrıcalık yükselmesi güvenlik açığı, konuk hesabının birincil kullanıcı için geçerli olan Wi-Fi ayarlarını değiştirmesine olanak tanıyabilir. Bu sorun, " tehlikeli " yeteneklere izinsiz yerel erişime izin verdiği için Orta önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | Ilıman | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Şubat 2016 |
AOSP Postasında Bilginin İfşa Edilmesi Güvenlik Açığı
AOSP Mail'deki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kullanıcının özel bilgilerine erişmesine olanak sağlayabilir. Bu sorun, verilere izinsiz olarak uygunsuz şekilde erişmek için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [ 2 ] | Ilıman | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Şubat 2016 |
Mediaserver'da Bilgi İfşası Güvenlik Açığı
Mediaserver'daki bilgilerin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak uygunsuz şekilde erişmek için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mart 2016 |
| CVE-2016-2460 | 27555981 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mart 2016 |
Çekirdekte Hizmet Reddi Güvenlik Açığı
Çekirdekteki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın aygıtın yeniden başlatılmasına neden olmasına izin verebilir. Etkisi geçici bir hizmet reddi olduğundan, bu sorun Düşük önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | Düşük | Tüm Nexus'lar | 17 Mart 2016 |
* Bu sorunun yaması Linux'un yukarı akışında mevcuttur.
Sık Sorulan Sorular ve Cevaplar
Bu bölümde, bu bülteni okuduktan sonra karşılaşabileceğiniz genel soruların yanıtları gözden geçirilmektedir.
1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?
01 Mayıs 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir (güvenlik düzeltme eki düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın). Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-05-01]
2. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
Güvenlik Açığı Ayrıntıları bölümünde, her tabloda, her sorun için güncellenen, etkilenen Nexus cihazlarının aralığını kapsayan Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunun birkaç seçeneği vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa tablonun Güncellenmiş Nexus cihazları sütununda Tüm Nexus'lar bulunur. Tüm Nexus'lar aşağıdaki desteklenen cihazları içerir: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmediyse tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
3. Bu bültende neden CVE-2015-1805 yer alıyor?
CVE-2015-1805 , Android Güvenlik Tavsiyesi—2016-03-18'in Nisan bülteninin yayınlanmasına çok yakın bir zamanda yayınlanması nedeniyle bu bültene dahil edilmiştir. Zaman çizelgesinin kısıtlı olması nedeniyle, cihaz üreticilerine, 01 Nisan 2016 Güvenlik Yaması Düzeyini kullanmaları halinde, CVE-2015-1805 düzeltmesi olmadan, Nexus Güvenlik Bülteni'ndeki ( Nisan 2016) düzeltmeleri gönderme seçeneği sunuldu. 01 Mayıs 2016 Güvenlik Yaması Düzeyinin kullanılabilmesi için düzeltilmesi gerektiğinden tekrar bu bültende yer almaktadır.
Revizyonlar
- 02 Mayıs 2016: Bülten yayınlandı.
- 04 Mayıs 2016:
- Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
- Nexus Player ve Pixel C'yi içerecek şekilde güncellenen tüm Nexus cihazlarının listesi.
- CVE-2016-2447, MITRE isteğine göre CVE-2016-4477 olarak güncellendi.