Yayınlanma tarihi: 6 Haziran 2016 | Güncellenme tarihi: 8 Haziran 2016
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı resimleri de Google geliştirici sitesinde yayınlandı. 1 Haziran 2016 veya sonraki güvenlik yaması düzeyleri bu sorunları giderir. Güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için Nexus dokümanlarına bakın.
İş ortakları, bültenimizde açıklanan sorunlar hakkında 2 Mayıs 2016'da veya daha önce bilgilendirilmiştir. Uygun durumlarda, bu sorunlara yönelik kaynak kod yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır.
En ciddi sorun, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla yöntemle etkilenen cihazda uzaktan kod çalıştırmayı etkinleştirebilecek kritik bir güvenlik açığıdır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android güvenlik platformu korumaları ve Android platformunun güvenliğini artıran SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google Hizmeti Azaltma bölümüne bakın.
Tüm müşterilerimizi, cihazlarındaki bu güncellemeleri kabul etmeye teşvik ediyoruz.
Android ve Google Hizmeti Azaltma
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki geliştirmeler, Android'deki birçok sorunun kötüye kullanılmasının zorlaştırılmasına yardımcı olmaktadır. Tüm kullanıcıları mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik Ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar hakkında uyarmak için tasarlanmış Verify Apps ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Uygulama Doğrulama, Google Mobil Hizmetleri'nin yüklü olduğu cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır ancak Uygulama Doğrulama, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ayrıca Uygulama Doğrulama, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen zararlı uygulamaları tespit edip yüklemelerini engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulama Doğrulama, kullanıcıyı bilgilendirir ve tespit edilen uygulamayı kaldırmayı dener.
- Google Hangouts ve Messenger uygulamaları, uygun olduğu durumlarda medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Di Shen (@returnsme) of KeenLab (@keen_lab), Tencent: CVE-2016-2468
- Gal Beniamini (@laginimaineb): CVE-2016-2476
- Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) of IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Qihoo 360 Technology Co. Ltd. Mobil Güvenli Ekibi'nden Hao Chen, Guang Gong ve Wenlin Yang: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016-2498
- Iwo Banas: CVE-2016-2496
- Jianqiang Zhao(@jianqiangzhao) ve pjf (weibo.com/jfpan), IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Google'dan Lee Campbell: CVE-2016-2500
- Google Güvenlik Ekibi'nden Maciej Szawłowski: CVE-2016-2474
- Google'dan Marco Nelissen ve Max Spector: CVE-2016-2487
- Google Project Zero Markası: CVE-2016-2494
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer (@ScottyBauer1): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasily Vasilev: CVE-2016-2463
- Alibaba Inc.'den Weichao Sun (@sunblate): CVE-2016-2495
- Tencent Güvenlik Platformu Bölümü'nden Xiling Gong: CVE-2016-2499
- Android Güvenlik Ekibi'nden Zach Riggle (@ebeip90): CVE-2016-2493
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 01.06.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili Android hatası, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (varsa) ve bildirilme tarihi içeren bir tablo bulunur. Mevcut olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, hata kimliğinin ardından gelen sayılara ek AOSP referansları bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Mediaserver'daki uzaktan kod yürütme güvenlik açığı, bir saldırganın özel olarak hazırlanmış bir dosyayı kullanarak medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasını sağlayabilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik olarak derecelendirilmiştir. Mediaserver işlemi, ses ve video akışlarına ve üçüncü taraf uygulamalarının normalde erişemeyeceği ayrıcalıklara erişebilir.
Etkilenen işlev, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle erişilmesine olanak tanıyan birden fazla uygulama vardır. Bunlardan en önemlileri MMS ve medya oynatıcı tarayıcıdır.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Mart 2016 |
libwebm'deki Uzaktan Kod Yürütme Güvenlik Açıkları
libwebm'deki uzaktan kod yürütme güvenlik açıkları, bir saldırganın özel olarak hazırlanmış bir dosyayı kullanarak medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak tanıyabilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik olarak derecelendirilmiştir. Mediaserver işlemi, ses ve video akışlarına ve üçüncü taraf uygulamalarının normalde erişemeyeceği ayrıcalıklara erişebilir.
Etkilenen işlev, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle erişilmesine olanak tanıyan birden fazla uygulama vardır. Bunlardan en önemlileri MMS ve medya oynatıcı tarayıcıdır.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [2] | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Qualcomm Video Sürücüsünde Yetki Yükseltme Güvenlik Açığı
Qualcomm video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 Şubat 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Qualcomm Ses Sürücüsünde Yetki Yükseltme Güvenlik Açığı
Qualcomm ses sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Kritik (Critical) | Nexus 6 | 27 Şubat 2016 |
| CVE-2016-2467 | 28029010* | Kritik (Critical) | Nexus 5 | 13 Mart 2014 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Qualcomm GPU Sürücüsünde Yetki Yükseltme Güvenlik Açığı
Qualcomm GPU sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 Mart 2016 |
| CVE-2016-2062 | 27364029* | Kritik (Critical) | Nexus 5X, Nexus 6P | 6 Mart 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Qualcomm Kablosuz Ağ Sürücüsünde Ayrıcalık Yükseltme Güvenlik Açığı
Qualcomm Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Kritik (Critical) | Nexus 5X | Google Dahili |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Broadcom Wi-Fi Sürücüsünde Yetki Yükseltme Güvenlik Açığı
Broadcom kablosuz sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın, gerekli ayrıcalıklara sahip olmadan cihaz ayarlarını ve davranışını değiştiren sistem çağrıları başlatmasına olanak tanıyabilir. Bu sorun, ayrıcalıklı özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Yüksek | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6 Ocak 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Qualcomm Ses Sürücüsünde Yetki Yükseltme Güvenlik Açığı
Qualcomm ses sürücüsündeki ayrıcalık yükseltme güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, sürücüyü arayabilen bir hizmetin güvenliğinin ihlal edilmesini gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 Ocak 2016 |
| CVE-2016-2469 | 27531992* | Yüksek | Nexus 5, Nexus 6, Nexus 6P | 4 Mart 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
Mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir sistem uygulaması bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [2] [3] [4] | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Şubat 2016 |
| CVE-2016-2477 | 27251096 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Şubat 2016 |
| CVE-2016-2478 | 27475409 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Mart 2016 |
| CVE-2016-2479 | 27532282 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mart 2016 |
| CVE-2016-2480 | 27532721 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mart 2016 |
| CVE-2016-2481 | 27532497 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mart 2016 |
| CVE-2016-2482 | 27661749 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mart 2016 |
| CVE-2016-2483 | 27662502 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mart 2016 |
| CVE-2016-2484 | 27793163 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mart 2016 |
| CVE-2016-2485 | 27793367 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mart 2016 |
| CVE-2016-2486 | 27793371 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mart 2016 |
| CVE-2016-2487 | 27833616 [2] [3] | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Qualcomm Kamera Sürücüsü'nde Yetki Yükseltme Güvenlik Açığı
Qualcomm kamera sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, sürücüyü arayabilen bir hizmetin güvenliğinin ihlal edilmesini gerektirdiği için yüksek önem derecesine sahiptir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Yüksek | Nexus 5X, Nexus 6P | 15 Şubat 2016 |
| CVE-2016-2488 | 27600832* | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Google Dahili |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Qualcomm Video Sürücüsünde Yetki Yükseltme Güvenlik Açığı
Qualcomm video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, sürücüyü arayabilen bir hizmetin güvenliğinin ihlal edilmesini gerektirdiği için yüksek önem derecesine sahiptir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 Şubat 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
NVIDIA Kamera Sürücüsünde Yetki Yükseltme Güvenlik Açığı
NVIDIA kamera sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Sürücüyü aramak için önce bir hizmetin güvenliğinin ihlal edilmesi gerektiğinden bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Yüksek | Nexus 9 | 6 Mart 2016 |
| CVE-2016-2491 | 27556408* | Yüksek | Nexus 9 | 8 Mart 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Qualcomm kablosuz ağ sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm kablosuz sürücüsündeki ayrıcalık yükseltme güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, sürücüyü arayabilen bir hizmetin güvenliğinin ihlal edilmesini gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Yüksek | Nexus 7 (2013) | 13 Mart 2016 |
| CVE-2016-2471 | 27773913* | Yüksek | Nexus 7 (2013) | 19 Mart 2016 |
| CVE-2016-2472 | 27776888* | Yüksek | Nexus 7 (2013) | 20 Mart 2016 |
| CVE-2016-2473 | 27777501* | Yüksek | Nexus 7 (2013) | 20 Mart 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
MediaTek Güç Yönetimi Sürücüsünde Yetki Yükseltme Güvenlik Açığı
MediaTek güç yönetimi sürücüsünde ayrıcalık yükseltilmesi, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, sürücüyü çağırmak için öncelikle cihazın güvenliğinin ihlal edilmesi ve kök erişimi elde edilmesi gerektiğinden yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Yüksek | Android One | 7 Nisan 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
SD Kart Emülasyon Katmanında Üst Düzey Ayrıcalık Yaratılabilirliği Güvenlik Açığı
SD kart kullanıcı alanı emülasyon katmanında ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın yükseltilmiş bir sistem uygulaması bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Nisan 2016 |
Broadcom Wi-Fi Sürücüsünde Yetki Yükseltme Güvenlik Açığı
Broadcom kablosuz sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Sürücüyü aramak için önce bir hizmetin güvenliğinin ihlal edilmesi gerektiğinden bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Yüksek | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | Google Dahili |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Mediaserver'da Uzaktan Hizmet Reddi Güvenlik Açığı
Mediaserver'daki uzak hizmet reddi güvenlik açığı, saldırganın cihazın donmasına veya yeniden başlatılmasına neden olmak için özel olarak hazırlanmış bir dosya kullanmasına olanak tanıyabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [2] | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Nisan 2016 |
Framework kullanıcı arayüzünde ayrıcalık yükseltme güvenlik açığı
Framework kullanıcı arayüzü izin iletişim kutusunda ayrıcalık yükseltme güvenlik açığı, saldırganların özel depolama alanındaki yetkisiz dosyalara erişmesine olanak tanıyabilir. Bu sorun, "tehlikeli" izinleri uygunsuz bir şekilde elde etmek için kullanılabileceğinden orta düzey olarak değerlendirilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [2] [3] | Orta seviye | Tüm Nexus | 6.0, 6.1 | 26 Mayıs 2015 |
Qualcomm Kablosuz Sürücüsünde Bilgi Açıklama Güvenlik Açığı
Qualcomm kablosuz sürücüsünde bilgi açığı bulunması, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, sürücüyü çağırabilecek bir hizmetin güvenliğinin ihlal edilmesini gerektirdiği için Orta önem düzeyinde olarak değerlendirilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Orta seviye | Nexus 7 (2013) | 20 Mart 2016 |
* Bu sorunun yaması AOSP'de yoktur. Güncelleme, Google geliştirici sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Mediaserver'da Bilgi İfşa Etme Güvenlik Açığı
Mediaserver'da bilgi ifşa etme güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, izinsiz olarak verilere erişmek için kullanılabileceğinden Orta düzey olarak değerlendirilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Mart 2016 |
Etkinlik Yöneticisi'nde Bilgi Açıklama Güvenlik Açığı
Etkinlik Yöneticisi bileşenindeki bilgi ifşa etme güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, izinsiz olarak verilere erişmek için kullanılabileceğinden orta düzeyde olarak değerlendirilir.
| CVE | Android hataları | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek yaygın sorular yanıtlanmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
1 Haziran 2016 veya sonraki güvenlik yaması düzeyleri bu sorunları giderir (güvenlik yaması düzeyini kontrol etmeyle ilgili talimatlar için Nexus belgelerine bakın). Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-06-01]
2. Her sorundan hangi Nexus cihazların etkilendiğini nasıl öğrenebilirim?
Güvenlik Açıklığı Ayrıntıları bölümünde, her tabloda her sorun için güncellenen etkilenen Nexus cihazların kapsamını gösteren Güncellenen Nexus cihazlar sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazlar: Bir sorun tüm Nexus cihazları etkiliyorsa tablonun Güncellenen Nexus cihazlar sütununda "Tüm Nexus" ifadesi yer alır. "Tüm Nexus", şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazlar: Bir sorun tüm Nexus cihazları etkilemiyorsa etkilenen Nexus cihazlar Güncellenen Nexus cihazlar sütununda listelenir.
- Nexus cihaz yok: Sorundan etkilenen Nexus cihaz yoksa tablonun Güncellenen Nexus cihazlar sütununda "Yok" ifadesi yer alır.
Düzeltmeler
- 6 Haziran 2016: Bülten yayınlandı.
- 7 Haziran 2016:
- Bülten, AOSP bağlantılarını içerecek şekilde düzeltildi.
- CVE-2016-2496 bülteninden kaldırıldı.
- 8 Haziran 2016: CVE-2016-2496 bültene tekrar eklendi.