Yayınlanma tarihi: 2 Mayıs 2016 | Güncelleme tarihi: 4 Mayıs 2016
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenle birlikte, Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı resimleri de Google Developers sitesinde yayınlandı. 1 Mayıs 2016 veya sonraki güvenlik yaması düzeyleri bu sorunları giderir (güvenlik yaması düzeyini kontrol etme talimatları için Nexus dokümanlarına bakın).
İş ortakları, bültenimizde açıklanan sorunlar hakkında 4 Nisan 2016'da veya daha önce bilgilendirilmiştir. Uygun durumlarda, bu sorunlara yönelik kaynak kod yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır.
Bu sorunlardan en ciddi olanı, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla yöntemle etkilenen cihazda uzaktan kod çalıştırmayı etkinleştirebilecek kritik bir güvenlik açığıdır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android platformunun güvenliğini artıran Android güvenlik platformu korumaları ve SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google Hizmeti Azaltma bölümüne bakın.
Tüm müşterilerimizi, cihazlarındaki bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Daha geniş bir odak noktasını yansıtmak için bu bülteni (ve bu serideki diğer tüm bültenleri) Android Güvenlik Bülteni olarak yeniden adlandırdık. Bu bültenlerde, Nexus cihazları etkilemese bile Android cihazları etkileyebilecek daha geniş bir güvenlik açığı yelpazesi ele alınır.
- Android Güvenlik önem derecelendirmelerini güncelledik. Bu değişiklikler, bildirilen güvenlik açıkları hakkında son altı ay içinde toplanan verilerin bir sonucudur ve önem derecelerinin, kullanıcılar üzerindeki gerçek etkiyle daha uyumlu olmasını amaçlamaktadır.
Android ve Google Hizmeti Azaltma
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki geliştirmeler, Android'deki birçok sorunun kötüye kullanılmasının zorlaştırılmasına yardımcı olmaktadır. Tüm kullanıcıları mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik Ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar hakkında uyarmak için tasarlanmış Verify Apps ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Uygulama Doğrulama, Google Mobil Hizmetleri'nin yüklü olduğu cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır ancak Uygulama Doğrulama, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ayrıca Uygulama Doğrulama, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen zararlı uygulamaları tespit edip yüklemelerini engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulama Doğrulama, kullanıcıyı bilgilendirir ve tespit edilen uygulamayı kaldırmayı dener.
- Google Hangouts ve Messenger uygulamaları, uygun olduğu durumlarda medyayı mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-2454
- Andy Tyler (@ticarpi) of e2e-assure: CVE-2016-2457
- Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-2441, CVE-2016-2442
- Dzmitry Lukyanenka ( www.linkedin.com/in/dzima): CVE-2016-2458
- Gal Beniamini: CVE-2016-2431
- Qihoo 360 Technology Co. Ltd.'nin Vulpecker Ekibi'nden Hao Chen: CVE-2016-2456
- FireEye şirketi Mandiant'tan Jake Valletta: CVE-2016-2060
- Jianqiang Zhao (@jianqiangzhao) ve pjf (weibo.com/jfpan) of IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
- Search-Lab Ltd.'den Imre Rad: CVE-2016-4477
- Jeremy C. Google'dan Joslin: CVE-2016-2461
- Google'dan Kenny Root: CVE-2016-2462
- Marco Grassi (@marcograss) of KeenLab (@keen_lab), Tencent: CVE-2016-2443
- Michał Bednarski ( https://github.com/michalbednarski): CVE-2016-2440
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
- Trend Micro'dan Peter Pi (@heisecode): CVE-2016-2459, CVE-2016-2460
- Alibaba Inc.'den Weichao Sun (@sunblate): CVE-2016-2428, CVE-2016-2429
- Yuan-Tsung Lo, Lubo Zhang, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-2437
- Baidu X-Lab'den Yulong Zhang ve Tao (Lenx) Wei: CVE-2016-2439
- Android Güvenlik Ekibi'nden Zach Riggle (@ebeip90): CVE-2016-2430
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 01.05.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili hata, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (varsa) ve bildirilme tarihi içeren bir tablo bulunur. Mevcut olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek AOSP referansları hata kimliğinin ardından gelen sayılara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Özel olarak hazırlanmış bir medya dosyasının ve verilerinin işlenmesi sırasında mediaserver'daki bir güvenlik açığı, saldırganın mediaserver işlemi olarak bellek bozulmasına ve uzaktan kod yürütmeye neden olmasına izin verebilir.
Etkilenen işlev, işletim sisteminin temel bir parçası olarak sağlanır ve uzaktan içerikle erişilmesine olanak tanıyan birden fazla uygulama vardır. Bunlardan en önemlileri MMS ve tarayıcıda medya oynatmadır.
Bu sorun, mediaserver hizmeti bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik önem düzeyinde olarak derecelendirilmiştir. mediaserver hizmeti, ses ve video akışlarına ve üçüncü taraf uygulamalarının normalde erişemeyeceği ayrıcalıklara erişebilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Ocak 2016 |
| CVE-2016-2429 | 27211885 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Şubat 2016 |
Debuggerd'de ayrıcalık yükseltme güvenlik açığı
Entegre Android hata ayıklayıcıda ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın Android hata ayıklayıcı bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Şubat 2016 |
Qualcomm TrustZone'da ayrıcalık yükseltme güvenlik açığı
Qualcomm TrustZone bileşenindeki ayrıcalık yükseltme güvenlik açığı, güvenli bir yerel kötü amaçlı uygulamanın TrustZone çekirdeği bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik önem düzeyinde olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | Kritik (Critical) | Nexus 5, Nexus 6, Nexus 7 (2013), Android One | 15 Ekim 2015 |
| CVE-2016-2432 | 25913059* | Kritik (Critical) | Nexus 6, Android One | 28 Kasım 2015 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm Kablosuz Ağ Sürücüsünde Ayrıcalık Yükseltme Güvenlik Açığı
Qualcomm Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, yerel ayrıcalık yükseltme ve rastgele kod yürütme olasılığı nedeniyle kritik önem derecesine sahiptir. Bu olasılıklar, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesine yol açabilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | Kritik (Critical) | Nexus 5X, Nexus 7 (2013) | 23 Ocak 2016 |
| CVE-2015-0570 | 26764809* | Kritik (Critical) | Nexus 5X, Nexus 7 (2013) | 25 Ocak 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
NVIDIA Video Sürücüsünde Yetki Yükseltme Güvenlik Açığı
NVIDIA video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın onarılması için işletim sisteminin yeniden yüklenmesini gerektirebilecek yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem düzeyinde olarak derecelendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | Kritik (Critical) | Nexus 9 | 17 Şubat 2016 |
| CVE-2016-2435 | 27297988* | Kritik (Critical) | Nexus 9 | 20 Şubat 2016 |
| CVE-2016-2436 | 27299111* | Kritik (Critical) | Nexus 9 | 22 Şubat 2016 |
| CVE-2016-2437 | 27436822* | Kritik (Critical) | Nexus 9 | 1 Mart 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdekte ayrıcalık yükseltme güvenlik açığı
Çekirdekteki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, yerel ayrıcalıkların yükseltilme ve rastgele kod çalıştırma olasılığı nedeniyle kritik önem derecesine sahiptir. Bu olasılıklar, cihazda kalıcı bir güvenlik açığı oluşmasına yol açabilir. Bu durumda, cihazı onarmak için işletim sisteminin yeniden yüklenmesi gerekebilir. Bu sorun, Android Güvenlik Danışmanlığı 18.03.2016'da açıklanmıştır.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 | 19 Şubat 2016 |
* AOSP'deki yama, belirli çekirdek sürümleri için kullanılabilir: 3.14, 3.10 ve 3.4.
Çekirdekte Uzaktan Kod Yürütme Güvenlik Açığı
Ses alt sisteminde bulunan uzaktan kod yürütme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Normalde bu tür bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir ancak ses alt sistemini çağırmak için önce ayrıcalıklı bir hizmetin güvenliğinin ihlal edilmesi gerektiğinden önem derecesi Yüksek olarak belirlenir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | Yüksek | Nexus 9 | Google Dahili |
* Bu sorunun yaması Linux upstream'de mevcuttur.
Qualcomm Tethering Controller'da Bilgi Açıklama Güvenlik Açığı
Qualcomm Tethering denetleyicisindeki bir bilgi ifşa etme güvenlik açığı, yerel kötü amaçlı bir uygulamanın gerekli ayrıcalıklara sahip olmadan kimliği tanımlayabilecek bilgilere erişmesine izin verebilir. Üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyde özellikler elde etmek için kullanılabileceğinden bu sorun yüksek önem derecesine sahiptir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | Yüksek | Yok | 23 Mart 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, etkilenen cihazların en son sürücülerinde yer almalıdır.
Bluetooth'ta Uzaktan Kod Yürütme Güvenlik Açığı
Bluetooth cihazı eşleme sırasında Bluetooth'daki bir güvenlik açığı, yakın bir saldırganın eşleme işlemi sırasında istediği kodu çalıştırmasına olanak tanıyabilir. Bu sorun, Bluetooth cihazının başlatılması sırasında uzaktan kod çalıştırma olasılığı nedeniyle yüksek önem derecesine sahiptir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Şubat 2016 |
Binder'da ayrıcalık yükseltme güvenlik açığı
Binder'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın başka bir uygulamanın işlemi bağlamında keyfi kod yürütmesine izin verebilir. Binder'daki bir güvenlik açığı, bellek boşaltılırken saldırganın yerel kod yürütmesine neden olabilir. Bu sorun, Binder'da boş bellek işlemi sırasında yerel kod yürütülme olasılığı nedeniyle yüksek önem derecesine sahiptir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 18 Şubat 2016 |
Qualcomm Buspm Sürücüsünde Yetki Yükseltme Güvenlik Açığı
Qualcomm buspm sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Normalde bu tür bir çekirdek kodu yürütme hatası Kritik olarak değerlendirilir ancak öncelikle sürücüyü çağırabilecek bir hizmetin güvenliğinin ihlal edilmesi gerektiğinden Yüksek önem derecesine sahiptir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | Yüksek | Nexus 5X, Nexus 6, Nexus 6P | 30 Aralık 2015 |
| CVE-2016-2442 | 26494907* | Yüksek | Nexus 5X, Nexus 6, Nexus 6P | 30 Aralık 2015 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm MDP Sürücüsünde Yetki Yükseltme Güvenlik Açığı
Qualcomm MDP sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Normalde bu tür bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir ancak sürücüyü çağırabilen bir hizmetin güvenliğinin ihlal edilmesi gerektiği için Yüksek önem düzeyinde olarak derecelendirilir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | Yüksek | Nexus 5, Nexus 7 (2013) | 5 Ocak 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm Kablosuz Ağ Sürücüsünde Ayrıcalık Yükseltme Güvenlik Açığı
Qualcomm Wi-Fi bileşenindeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın, cihaz ayarlarını ve davranışını değiştirmek için sistem çağrıları başlatmasına olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi üst düzey özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | Yüksek | Nexus 5X, Nexus 7 (2013) | 25 Ocak 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
NVIDIA Video Sürücüsünde Yetki Yükseltme Güvenlik Açığı
NVIDIA medya sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Normalde bu tür bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir ancak sürücüyü çağırmak için önce yüksek ayrıcalıklı bir hizmetin güvenliğinin ihlal edilmesi gerektiğinden önem düzeyi Yüksek olarak derecelendirilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | Yüksek | Nexus 9 | 16 Şubat 2016 |
| CVE-2016-2445 | 27253079* | Yüksek | Nexus 9 | 17 Şubat 2016 |
| CVE-2016-2446 | 27441354* | Yüksek | Nexus 9 | 1 Mart 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Kablosuz Ağda Ayrıcalık Yükseltme Güvenlik Açığı
Kablosuz ağda ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için de kullanılabileceğinden yüksek önem düzeyinde olarak değerlendirilmiştir.
Not:CVE numarası, MITRE'nin isteği üzerine CVE-2016-2447 yerine CVE-2016-4477 olarak güncellendi.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [2] | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Şubat 2016 |
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir sistem uygulaması bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özellikler elde etmek için kullanılabileceğinden yüksek önem derecesine sahiptir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mart 2016 |
| CVE-2016-2449 | 27568958 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Mart 2016 |
| CVE-2016-2450 | 27569635 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Mart 2016 |
| CVE-2016-2451 | 27597103 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Mart 2016 |
| CVE-2016-2452 | 27662364 [2] [3] | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mart 2016 |
MediaTek Kablosuz Ağ Sürücüsünde Ayrıcalık Yükseltme Güvenlik Açığı
MediaTek Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod çalıştırmasına olanak tanıyabilir. Normalde bu tür bir çekirdek kodu yürütme hatası Kritik olarak değerlendirilir ancak öncelikle sürücüyü çağırabilecek bir hizmetin güvenliğinin ihlal edilmesi gerektiğinden önem derecesi Yüksek olarak değerlendirilir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | Yüksek | Android One | 8 Mart 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm Donanım Kodekinde Uzaktan Hizmet Reddi Güvenlik Açığı
Özel olarak hazırlanmış bir dosyanın medya dosyası ve veri işleme sırasında Qualcomm donanım video codec'inde bulunan uzaktan hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazı yeniden başlatarak etkilenen cihaza erişimi engellemesine olanak tanıyabilir. Bu güvenlik açığı, uzaktan hizmet reddi olasılığı nedeniyle yüksek önem düzeyinde olarak derecelendirilmiştir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | Yüksek | Nexus 5 | 16 Aralık 2015 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlar için en son ikili sürücülerde yer alır.
Conscrypt'te ayrıcalık yükseltme güvenlik açığı
Conscrypt'te ayrıcalık yükseltme güvenlik açığı, yerel bir uygulamanın bir mesajın kimliği doğrulanmışken doğrulanmadığına inanmasına neden olabilir. Bu sorun, birden fazla cihazda koordineli adımlar gerektirdiği için Orta önem düzeyinde olarak derecelendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [2] | Orta seviye | Tüm Nexus | 6.0, 6.0.1 | Google Dahili |
| CVE-2016-2462 | 27371173 | Orta seviye | Tüm Nexus | 6.0, 6.0.1 | Google Dahili |
OpenSSL ve BoringSSL'de ayrıcalık yükseltme güvenlik açığı
OpenSSL ve BoringSSL'de ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin seviyelerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu durum normalde yüksek önem derecesine sahip olur ancak yaygın olmayan manuel yapılandırma gerektirdiği için orta önem derecesine sahiptir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Şubat 2016 |
MediaTek Kablosuz Ağ Sürücüsünde Ayrıcalık Yükseltme Güvenlik Açığı
MediaTek kablosuz sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın hizmet reddi saldırısına neden olmasına neden olabilir. Normalde bu tür ayrıcalık yükseltme hataları Yüksek olarak derecelendirilir ancak önce bir sistem hizmetinin güvenliğinin ihlal edilmesi gerektiği için önem düzeyi Orta olarak derecelendirilir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | Orta seviye | Android One | 19 Şubat 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden edinilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Kablosuz Ağda Ayrıcalık Yükseltme Güvenlik Açığı
Kablosuz bağlantıda ayrıcalık yükseltme güvenlik açığı, bir misafir hesabının birincil kullanıcı için kalıcı olan kablosuz bağlantı ayarlarını değiştirmesine olanak tanıyabilir. Bu sorun, izinsiz olarak " tehlikeli" özelliklere yerel erişim sağladığı için Orta önem derecesine sahiptir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Şubat 2016 |
AOSP Mail'de Bilgi Açıklama Güvenlik Açığı
AOSP Mail'deki bir bilgi ifşa güvenlik açığı, yerel kötü amaçlı bir uygulamanın kullanıcının özel bilgilerine erişmesine olanak tanıyabilir. Bu sorun, izinsiz olarak verilere uygunsuz şekilde erişmek için kullanılabileceğinden önem derecesi Orta olarak belirlenmiştir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [2] | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Şubat 2016 |
Mediaserver'da Bilgi İfşa Etme Güvenlik Açığı
Mediaserver'da bilgi ifşa etme güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, izinsiz olarak verilere uygunsuz şekilde erişmek için kullanılabileceğinden önem derecesi Orta olarak değerlendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mart 2016 |
| CVE-2016-2460 | 27555981 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mart 2016 |
Çekirdekte Hizmet Reddi Güvenlik Açığı
Çekirdekteki hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın cihazı yeniden başlatmasına neden olabilir. Etkisi geçici bir hizmet reddi olduğu için bu sorun Düşük önem düzeyinde olarak derecelendirilmiştir.
| CVE | Android hatası | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | Düşük | Tüm Nexus | 17 Mart 2016 |
* Bu sorunun yaması yukarı akış Linux'ta mevcuttur.
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek sık sorulan soruların yanıtları ele alınmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
1 Mayıs 2016 veya sonraki güvenlik yaması düzeyleri bu sorunları giderir (güvenlik yaması düzeyini kontrol etme talimatları için Nexus belgelerine bakın). Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-05-01]
2. Her sorundan hangi Nexus cihazların etkilendiğini nasıl öğrenebilirim?
Güvenlik Açıklığı Ayrıntıları bölümünde, her tabloda her sorun için güncellenen etkilenen Nexus cihazların kapsamını gösteren Güncellenen Nexus cihazlar sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazlar: Bir sorun tüm Nexus cihazları etkiliyorsa tablonun Güncellenen Nexus cihazlar sütununda Tüm Nexus ifadesi yer alır. Tüm Nexus cihazlar aşağıdaki desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazlar: Bir sorun tüm Nexus cihazları etkilemiyorsa etkilenen Nexus cihazlar Güncellenen Nexus cihazlar sütununda listelenir.
- Nexus cihaz yok: Sorundan etkilenen Nexus cihaz yoksa tablonun Güncellenen Nexus cihazlar sütununda "Yok" ifadesi yer alır.
3. CVE-2015-1805 neden bu bültene dahil edildi?
Android Güvenlik Uyarısı (18 Mart 2016), Nisan ayı bülteninin yayınlanmasına çok yakın bir tarihte yayınlandığı için CVE-2015-1805 bu bültene dahil edilmiştir. Sıkı zaman çizelgesi nedeniyle cihaz üreticilerine, 1 Nisan 2016 güvenlik yaması düzeyini kullanıyorlarsa Nexus Güvenlik Bülteni - Nisan 2016'daki düzeltmeleri CVE-2015-1805 düzeltmesi olmadan gönderme seçeneği sunuldu. 1 Mayıs 2016 güvenlik yaması düzeyini kullanmak için düzeltilmesi gerektiğinden bu sorun bu bültene tekrar eklenmiştir.
Düzeltmeler
- 2 Mayıs 2016: Bülten yayınlandı.
- 4 Mayıs 2016:
- Bülten, AOSP bağlantılarını içerecek şekilde düzeltildi.
- Nexus Player ve Pixel C'yi içerecek şekilde güncellenen tüm Nexus cihazların listesi.
- CVE-2016-2447, MITRE isteği üzerine CVE-2016-4477 olarak güncellendi.