02 Mayıs 2016 tarihinde yayınlandı | 04 Mayıs 2016 güncellendi
Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 01 Mayıs 2016 veya sonraki Güvenlik Yaması Düzeyleri bu sorunları giderir (güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın).
Ortaklar, bültende açıklanan sorunlar hakkında 04 Nisan 2016 veya daha önce bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.
Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google Hizmet Azaltıcıları bölümüne bakın.
Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Daha geniş bir odağı yansıtmak için bu bülteni (ve serideki tüm takip edenleri) Android Güvenlik Bülteni olarak yeniden adlandırdık. Bu bültenler, Nexus cihazlarını etkilemeseler bile Android cihazlarını etkileyebilecek daha geniş bir güvenlik açığı yelpazesini kapsar.
- Android Güvenlik önem derecelerini güncelledik. Bu değişiklikler, rapor edilen güvenlik açıkları hakkında son altı ay içinde toplanan verilerin sonucuydu ve önem derecelerini gerçek dünyadaki kullanıcılar üzerindeki etkilerle daha yakından uyumlu hale getirmeyi amaçlıyor.
Android ve Google Hizmet Azaltıcıları
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- Google Chrome Güvenlik Ekibinden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-2454
- e2e- assure'dan Andy Tyler ( @ticarpi ) : CVE-2016-2457
- C0RE Ekibinden Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang: CVE-2016-2441, CVE-2016-2442
- Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
- Gal Beniamini: CVE-2016-2431
- Vulpecker Ekibinden Hao Chen, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
- Bir FireEye şirketi olan Mandiant'tan Jake Valletta: CVE-2016-2060
- IceSword Lab, Qihoo 360 Technology Co. Ltd'den Jianqiang Zhao ( @jianqiangzhao ) ve pjf ( weibo.com/jfpan ): CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
- Search-Lab Ltd.'den Imre Rad : CVE-2016-4477
- Google'dan Jeremy C. Joslin: CVE-2016-2461
- Google'ın Kenny Kökü: CVE-2016-2462
- KeenLab'dan Marco Grassi ( @marcograss ) ( @keen_lab ), Tencent: CVE-2016-2443
- Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
- C0RE Ekibinden Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang : CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
- Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-2459, CVE-2016-2460
- Alibaba Inc.'in Weichao Sun ( @sunblate ) : CVE-2016-2428, CVE-2016-2429
- Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-2437
- Baidu X-Lab'dan Yulong Zhang ve Tao (Lenx) Wei: CVE-2016-2439
- Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-2430
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 2016-05-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili hata, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve bildirilen tarihi içeren bir tablo vardır. Uygun olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları, hata kimliğini izleyen sayılara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Medya dosyası ve özel hazırlanmış bir dosyanın veri işlemesi sırasında, medya sunucusundaki bir güvenlik açığı, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olabilir.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Medya sunucusu hizmetinin, ses ve video akışlarına erişiminin yanı sıra, üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Oca 2016 |
| CVE-2016-2429 | 27211885 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Şub 2016 |
Debuggerd'da Ayrıcalık Yükselmesi Güvenlik Açığı
Entegre Android hata ayıklayıcısındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Android hata ayıklayıcı bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Şubat 2016 |
Qualcomm TrustZone'da Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm TrustZone bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, güvenli bir yerel kötü amaçlı uygulamanın TrustZone çekirdeği bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | kritik | Nexus 5, Nexus 6, Nexus 7 (2013), Android One | 15 Ekim 2015 |
| CVE-2016-2432 | 25913059* | kritik | Nexus 6, Android Bir | 28 Kasım 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliğinin ihlal edilmesine yol açan yerel bir ayrıcalık yükseltme ve rastgele kod yürütme olasılığı nedeniyle bu sorun, Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | kritik | Nexus 5X, Nexus 7 (2013) | 23 Oca 2016 |
| CVE-2015-0570 | 26764809* | kritik | Nexus 5X, Nexus 7 (2013) | 25 Oca 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA Video Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | kritik | Bağlantı Noktası 9 | 17 Şubat 2016 |
| CVE-2016-2435 | 27297988* | kritik | Bağlantı Noktası 9 | 20 Şubat 2016 |
| CVE-2016-2436 | 27299111* | kritik | Bağlantı Noktası 9 | 22 Şubat 2016 |
| CVE-2016-2437 | 27436822* | kritik | Bağlantı Noktası 9 | 1 Mart 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdekte Ayrıcalık Yükseltme Güvenlik Açığı
Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel bir ayrıcalık yükseltme ve rasgele kod yürütme olasılığı nedeniyle, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliğinin ihlal edilmesine yol açma olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Bu sorun Android Güvenlik Danışma Belgesi 2016-03-18'de açıklanmıştır .
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 | 19 Şub 2016 |
* AOSP'deki yama belirli çekirdek sürümleri için mevcuttur: 3.14 , 3.10 ve 3.4 .
Çekirdekte Uzaktan Kod Yürütme Güvenlik Açığı
Ses alt sistemindeki bir uzaktan kod yürütme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak ses alt sistemini çağırmak için öncelikle ayrıcalıklı bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | Yüksek | Bağlantı Noktası 9 | Google Dahili |
* Bu sorunla ilgili yama, Linux yukarı akışında mevcuttur.
Qualcomm Tethering Controller'da Bilginin Açığa Çıkması Güvenlik Açığı
Qualcomm Tethering denetleyicisindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, ayrıcalıklar olmadan kişisel tanımlanabilir bilgilere erişmesine izin verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden, Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | Yüksek | Hiçbiri | 23 Mart 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, etkilenen cihazların en son sürücülerinde yer almalıdır.
Bluetooth'ta Uzaktan Kod Yürütme Güvenlik Açığı
Bir Bluetooth cihazının eşleştirilmesi sırasında, Bluetooth'taki bir güvenlik açığı, yakın bir saldırganın eşleştirme işlemi sırasında rastgele kod yürütmesine izin verebilir. Bu sorun, bir Bluetooth cihazının başlatılması sırasında uzaktan kod yürütme olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Şubat 2016 |
Binder'da Ayrıcalık Yükselmesi Güvenlik Açığı
Binder'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın başka bir uygulamanın süreci bağlamında rasgele kod yürütmesine izin verebilir. Belleği boşaltırken, Bağlayıcıdaki bir güvenlik açığı, bir saldırganın yerel kod yürütülmesine neden olmasına izin verebilir. Bu sorun, Ciltçideki boş bellek işlemi sırasında yerel kod yürütme olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 18 Şubat 2016 |
Qualcomm Buspm Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm buspm sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilen bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | Yüksek | Nexus 5X, Nexus 6, Nexus 6P | 30 Ara 2015 |
| CVE-2016-2442 | 26494907* | Yüksek | Nexus 5X, Nexus 6, Nexus 6P | 30 Ara 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm MDP Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm MDP sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilen bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | Yüksek | Nexus 5, Nexus 7 (2013) | 5 Ocak 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm Wi-Fi bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, ayrıcalıklar olmadan cihaz ayarlarını ve davranışını değiştirerek sistem çağrıları başlatmasını sağlayabilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabildiğinden, Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | Yüksek | Nexus 5X, Nexus 7 (2013) | 25 Oca 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA Video Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
NVIDIA medya sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırmak için yüksek ayrıcalıklı bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | Yüksek | Bağlantı Noktası 9 | 16 Şub 2016 |
| CVE-2016-2445 | 27253079* | Yüksek | Bağlantı Noktası 9 | 17 Şubat 2016 |
| CVE-2016-2446 | 27441354* | Yüksek | Bağlantı Noktası 9 | 1 Mart 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Wi-Fi'de Ayrıcalık Yükselmesi Güvenlik Açığı
Wi-Fi'de bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabildiğinden, Yüksek önem derecesi olarak derecelendirilmiştir.
Not :CVE numarası, MITRE isteğine göre CVE-2016-2447'den CVE-2016-4477'ye güncellendi.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [ 2 ] | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Şubat 2016 |
Mediaserver'da Ayrıcalık Yükselmesi Güvenlik Açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulaması tarafından erişilemeyen Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mart 2016 |
| CVE-2016-2449 | 27568958 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Mart 2016 |
| CVE-2016-2450 | 27569635 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Mart 2016 |
| CVE-2016-2451 | 27597103 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Mart 2016 |
| CVE-2016-2452 | 27662364 [ 2 ] [ 3 ] | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mart 2016 |
MediaTek Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilen bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | Yüksek | Android Bir | 8 Mart 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Donanım Codec Bileşeninde Uzaktan Hizmet Reddi Güvenlik Açığı
Özel hazırlanmış bir dosyanın medya dosyası ve veri işlemesi sırasında, Qualcomm donanım video codec bileşenindeki uzaktan hizmet reddi güvenlik açığı, uzaktaki bir saldırganın, aygıtın yeniden başlatılmasına neden olarak etkilenen bir aygıta erişimi engellemesine olanak verebilir. Bu, uzaktan hizmet reddi olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | Yüksek | Nexus 5 | 16 Ara 2015 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Conscrypt'te Ayrıcalık Yükselmesi Güvenlik Açığı
Conscrypt'teki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir uygulamanın bir iletinin kimliğinin doğrulanmadığı halde doğrulandığına inanmasına olanak verebilir. Bu sorun, birden çok cihaz arasında koordineli adımlar gerektirdiğinden Orta önem derecesi olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [ 2 ] | Ilıman | Tüm Bağlantılar | 6.0, 6.0.1 | Google Dahili |
| CVE-2016-2462 | 27371173 | Ilıman | Tüm Bağlantılar | 6.0, 6.0.1 | Google Dahili |
OpenSSL ve BoringSSL'de Ayrıcalık Yükselmesi Güvenlik Açığı
OpenSSL ve BoringSSL'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Normalde bu, Yüksek olarak derecelendirilir, ancak olağandışı bir manuel yapılandırma gerektirdiğinden, Orta önem derecesi olarak derecelendirilir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Şubat 2016 |
MediaTek Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın hizmet reddine neden olmasına olanak verebilir. Normalde bunun gibi bir ayrıcalık yükseltme hatası Yüksek olarak derecelendirilir, ancak önce bir sistem hizmetinden ödün verilmesini gerektirdiğinden, Orta önem derecesinde derecelendirilir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | Ilıman | Android Bir | 19 Şub 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Wi-Fi'de Ayrıcalık Yükselmesi Güvenlik Açığı
Wi-Fi'de bir ayrıcalık yükselmesi güvenlik açığı, konuk hesabının birincil kullanıcı için geçerli olan Wi-Fi ayarlarını değiştirmesine olanak verebilir. Bu sorun, " tehlikeli " yeteneklere izinsiz olarak yerel erişim sağladığından, Orta önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Şub 2016 |
AOSP Mail'de Bilginin Açığa Çıkması Güvenlik Açığı
AOSP Mail'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın kullanıcının özel bilgilerine erişmesine olanak sağlayabilir. Bu sorun, verilere izinsiz olarak uygunsuz bir şekilde erişmek için kullanılabileceğinden Orta önem derecesine sahiptir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [ 2 ] | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Şubat 2016 |
Mediaserver'da Bilgi İfşası Güvenlik Açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak uygunsuz bir şekilde erişmek için kullanılabileceğinden, Orta önem derecesinde derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mart 2016 |
| CVE-2016-2460 | 27555981 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Mart 2016 |
Çekirdekte Hizmet Reddi Güvenlik Açığı
Çekirdekteki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın aygıtın yeniden başlatılmasına neden olmasına izin verebilir. Etkisi geçici bir hizmet reddi olduğundan, bu sorun Düşük önem derecesi olarak derecelendirilmiştir.
| CVE | Android hatası | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | Düşük | Tüm Bağlantılar | 17 Mart 2016 |
* Bu sorunla ilgili yama, Linux yukarı akışında mevcuttur.
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek yaygın soruların yanıtlarını gözden geçirmektedir.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
01 Mayıs 2016 veya sonraki Güvenlik Yaması Düzeyleri bu sorunları giderir (güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın). Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-05-01]
2. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
Güvenlik Açığı Ayrıntıları bölümünde, her tabloda, her sorun için güncellenen etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa tablonun Güncellenmiş Nexus cihazları sütununda Tüm Nexus'lar olacaktır. Tüm Nexus'lar şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa, etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmiyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
3. CVE-2015-1805 neden bu bültene dahil edilmiştir?
CVE-2015-1805, Android Güvenlik Danışmanlığı—2016-03-18 Nisan bülteninin yayınlanmasına çok yakın bir zamanda yayınlandığı için bu bültene dahil edilmiştir. Sıkı zaman çizelgesi nedeniyle, cihaz üreticilerine 01 Nisan 2016 Güvenlik Yaması Düzeyini kullanmaları durumunda Nexus Güvenlik Bülteni - Nisan 2016'daki düzeltmeleri CVE-2015-1805 düzeltmesi olmadan gönderme seçeneği verildi. 01 Mayıs 2016 Güvenlik Yaması Düzeyinin kullanılması için düzeltilmesi gerektiği için bu bültende tekrar yer almaktadır.
Revizyonlar
- 02 Mayıs 2016: Bülten yayınlandı.
- 04 Mayıs 2016:
- Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
- Nexus Player ve Pixel C'yi içerecek şekilde güncellenen tüm Nexus cihazlarının listesi.
- CVE-2016-2447, MITRE isteği başına CVE-2016-4477 olarak güncellendi.