Yayınlanma tarihi: 6 Temmuz 2016 | Güncellenme tarihi: 1 Nisan 2019
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı resimleri Google geliştirici sitesinde de yayınlanmıştır. 5 Temmuz 2016 veya sonraki güvenlik yaması düzeyleri, bu bültendeki tüm geçerli sorunları giderir. Güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için dokümanları inceleyin.
İş ortakları, bültende açıklanan sorunlar hakkında 6 Haziran 2016'da veya daha önce bilgilendirildi. Uygun durumlarda, bu sorunlara yönelik kaynak kod yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır. Bu bülten, AOSP dışındaki yamalar için bağlantılar da içerir.
Bu sorunların en ciddisi, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla yöntemle etkilenen cihazda uzaktan kod çalıştırmayı etkinleştirebilecek kritik bir güvenlik açığıdır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android güvenlik platformu korumaları ve Android platformunun güvenliğini artıran SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmet azaltma işlemleri bölümüne bakın.
Tüm müşterilerimizi, cihazlarındaki bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer olan güvenlik açıklarının bir alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi tanımlar. Daha fazla bilgi için Sık sorulan sorular ve yanıtları bölümüne göz atın:
- 2016-07-01: Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik yaması düzeyi dizesi, 01.07.2016 ile ilişkili tüm sorunların giderildiğini gösterir.
- 2016-07-05: Tam güvenlik yaması seviyesi dizesi. Bu güvenlik yaması düzeyi dizesi, 01.07.2016 ve 05.07.2016 ile ilişkili tüm sorunların giderildiğini gösterir.
- Desteklenen Nexus cihazlar, 05 Temmuz 2016 güvenlik yaması düzeyini içeren tek bir OTA güncellemesi alacak.
Android ve Google hizmetlerinin azaltılması
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorunun kötüye kullanımını zorlaştırmaktadır. Tüm kullanıcıların mümkün olduğunda Android'in en son sürümüne güncelleme yapmalarını öneririz.
- Android Güvenlik Ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar hakkında uyarmak için tasarlanmış Uygulamaları Doğrulama ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Uygulama Doğrulama, Google Mobil Hizmetleri'nin yüklü olduğu cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır ancak Uygulama Doğrulama, tespit edilen bir köklendirme uygulamasını yüklemeye çalışan kullanıcıları uyarır. Ayrıca Uygulama Doğrulama, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen zararlı uygulamaları tespit edip yüklemesini engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulama Doğrulama, kullanıcıyı bilgilendirir ve tespit edilen uygulamayı kaldırmaya çalışır.
- Google Hangouts ve Messenger uygulamaları, uygun olduğu durumlarda medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- Check Point Software Technologies Ltd.'den Adam Donenfeld ve diğerleri: CVE-2016-2503
- Google'dan Adam Powell: CVE-2016-3752
- Context Information Security'dan Alex Chapman ve Paul Stone: CVE-2016-3763
- Andy Tyler (@ticarpi) of e2e-assure: CVE-2016-2457
- Google Project Zero'dan Ben Hawkes: CVE-2016-3775
- Chiachih Wu (@chiachih_wu), Yuan-Tsung Lo (computernik@gmail.com) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
- Google'dan Christopher Tate: CVE-2016-3759
- Tencent'ten Di Shen (@returnsme) (@keen_lab): CVE-2016-3762
- Gengjia Chen (@chengjia4574), IceSword Lab'den pjf (weibo.com/jfpan), Qihoo 360 Technology Co. Ltd.: CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804, CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
- Google Android Ekibi'nden Greg Kaiser: CVE-2016-3758
- Qihoo 360 Technology Co. Ltd Mobil Güvenli Ekibi'nden Guang Gong (龚广) (@oldfresher): CVE-2016-3764
- Alpha Ekibi'nden Hao Chen ve Guang Gong, Qihoo 360 Technology Co. Ltd.: CVE-2016-3792, CVE-2016-3768
- Cheetah Mobile'ın Güvenlik Araştırma Laboratuvarı'ndan Hao Qin: CVE-2016-3754, CVE-2016-3766
- Jianqiang Zhao (@jianqiangzhao) ve pjf (weibo.com/jfpan) of IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
- Google'dan Marco Nelissen: CVE-2016-3818
- Google Project Zero'nun Mark Markası: CVE-2016-3757
- Michał Bednarski: CVE-2016-3750
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
- Alibaba Mobile Security Group'dan Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang Ssong: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
- Trend Micro'dan Peter Pi (@heisecode): CVE-2016-3793
- Google'dan Ricky Wai: CVE-2016-3749
- Roeland Krak: CVE-2016-3753
- Scott Bauer (@ScottyBauer1): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
- Vasily Vasilev: CVE-2016-2507
- Alibaba Inc.'den Weichao Sun (@sunblate): CVE-2016-2508, CVE-2016-3755
- Wen Niu (@NWMonster) of KeenLab (@keen_lab), Tencent: CVE-2016-3809
- Tencent Güvenlik Platformu Departmanı'ndan Xiling Gong: CVE-2016-3745
- Çin Bilimler Akademisi Yazılım Enstitüsü TCA Lab'den Yacong Gu: CVE-2016-3761
- Tencent'in Xuanwu LAB ekibinden Yongke Wang (@Rudykewang): CVE-2016-2505
- Tencent'in Xuanwu LAB ekibinden Yongke Wang (@Rudykewang) ve Wei Wei (@Danny__Wei): CVE-2016-2506
- Baidu X-Lab'den Yulong Zhang ve Tao (Lenx) Wei: CVE-2016-3744
2016-07-01 güvenlik yaması düzeyi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 01.07.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (varsa) ve bildirilme tarihi içeren bir tablo bulunur. Varsa sorunu gideren herkese açık değişikliği, AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek referanslar hata kimliğinin ardından gelen sayılara bağlanır.
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki uzaktan kod yürütme güvenlik açığı, bir saldırganın özel olarak hazırlanmış bir dosyayı kullanarak medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasını sağlayabilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik olarak derecelendirilmiştir. Mediaserver işlemi, ses ve video akışlarına ve üçüncü taraf uygulamalarının normalde erişemeyeceği ayrıcalıklara erişebilir.
Etkilenen işlev, işletim sisteminin temel bir parçası olarak sağlanır ve uzaktan içerikle erişilmesine olanak tanıyan birden fazla uygulama vardır. Bunlardan en önemlileri MMS ve tarayıcıda medya oynatmadır.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Nisan 2016 |
| CVE-2016-2505 | A-28333006 | Kritik (Critical) | Tüm Nexus | 6.0, 6.0.1 | 21 Nisan 2016 |
| CVE-2016-2507 | A-28532266 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mayıs 2016 |
| CVE-2016-2508 | A-28799341 [2] | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Mayıs 2016 |
| CVE-2016-3741 | A-28165661 [2] | Kritik (Critical) | Tüm Nexus | 6.0, 6.0.1 | Yalnızca Google |
| CVE-2016-3742 | A-28165659 | Kritik (Critical) | Tüm Nexus | 6.0, 6.0.1 | Yalnızca Google |
| CVE-2016-3743 | A-27907656 | Kritik (Critical) | Tüm Nexus | 6.0, 6.0.1 | Yalnızca Google |
OpenSSL ve BoringSSL'de uzaktan kod yürütme güvenlik açığı
OpenSSL ve BoringSSL'deki uzaktan kod yürütme güvenlik açığı, saldırganların dosya ve veri işleme sırasında bellek bozulmasına neden olmak için özel olarak hazırlanmış bir dosya kullanmasına olanak tanıyabilir. Bu sorun, etkilenen bir işlem bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Mayıs 2016 |
Bluetooth'ta uzaktan kod yürütme güvenlik açığı
Bluetooth'taki uzaktan kod çalıştırma güvenlik açığı, yakınındaki bir saldırganın eşleme işlemi sırasında rastgele kod çalıştırmasına izin verebilir. Bu sorun, Bluetooth cihazının başlatılması sırasında uzaktan kod çalıştırma olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 Mart 2016 |
libpng'de ayrıcalık yükseltme güvenlik açığı
libpng'deki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek düzeyli özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Aralık 2015 |
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
Mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir sistem uygulaması bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yüksek özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Nisan 2016 |
| CVE-2016-3746 | A-27890802 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Mart 2016 |
| CVE-2016-3747 | A-27903498 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Mart 2016 |
Prizlerde ayrıcalık yükseltme güvenlik açığı
Soketlerde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeyinin dışındaki sistem çağrılarına erişmesine olanak tanıyabilir. Bu sorun, platformdan yararlanan saldırganların zorluğunu artırmak için uygulanan güvenlik önlemlerinin atlanmasına izin verebileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | Yüksek | Tüm Nexus | 6.0, 6.0.1 | 13 Nisan 2016 |
LockSettingsService'te ayrıcalık yükseltme güvenlik açığı
LockSettingsService'te ayrıcalık yükseltme güvenlik açığı, kötü amaçlı bir uygulamanın kullanıcıdan yetki almadan ekran kilidi şifresini sıfırlamasına olanak tanıyabilir. Bu sorun, geliştirici veya güvenlik ayarları değişiklikleri için kullanıcı etkileşimi koşullarının yerel olarak atlatılması olduğu için yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | Yüksek | Tüm Nexus | 6.0, 6.0.1 | Yalnızca Google |
Çerçeve API'lerinde ayrıcalık yükseltme güvenlik açığı
Parcels Framework API'lerinde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın uygulama verilerini diğer uygulamalardan ayıran işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın erişemediği verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Aralık 2015 |
ChooserTarget hizmetinde ayrıcalık yükseltme güvenlik açığı
ChooserTarget hizmetinde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın başka bir uygulama bağlamında kod yürütmesine olanak tanıyabilir. Başka bir uygulamaya ait etkinliklere izinsiz olarak erişmek için kullanılabileceğinden bu sorun yüksek riskli olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | Yüksek | Tüm Nexus | 6.0, 6.0.1 | Yalnızca Google |
Mediaserver'da bilgi ifşa güvenlik açığı
Mediaserver'daki bir bilgi açığa çıkarma güvenlik açığı, uzaktaki bir saldırganın normalde yalnızca izin isteyen yerel olarak yüklü uygulamaların erişebildiği korumalı verilere erişmesine olanak tanıyabilir. İzinsiz verilere erişmek için kullanılabileceğinden bu sorun Yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | Yüksek | Yok* | 4.4.4 | 15 Şubat 2016 |
* Mevcut tüm güncellemelerin yüklü olduğu desteklenen Nexus cihazlar bu güvenlik açığından etkilenmez.
OpenSSL'deki bilgi ifşa güvenlik açığı
OpenSSL'deki bir bilgi açığı, uzaktaki bir saldırganın normalde yalnızca izin isteyen yerel olarak yüklü uygulamaların erişebildiği korunan verilere erişmesine olanak tanıyabilir. İzinsiz verilere erişmek için kullanılabileceğinden bu sorun Yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | Yüksek | Yok* | 4.4.4, 5.0.2, 5.1.1 | 13 Nisan 2016 |
* Mevcut tüm güncellemelerin yüklü olduğu desteklenen Nexus cihazlar bu güvenlik açığından etkilenmez.
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki hizmet reddi güvenlik açığı, saldırganların cihazın donmasına veya yeniden başlatılmasına neden olmak için özel olarak hazırlanmış bir dosya kullanmasına olanak tanıyabilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [2] | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Mayıs 2016 |
| CVE-2016-3755 | A-28470138 | Yüksek | Tüm Nexus | 6.0, 6.0.1 | 29 Nisan 2016 |
| CVE-2016-3756 | A-28556125 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
libc'de hizmet reddi güvenlik açığı
libc'deki hizmet reddi güvenlik açığı, saldırganların özel olarak hazırlanmış bir dosya kullanarak cihazın donmasına veya yeniden başlatılmasına neden olmasına olanak tanıyabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [2] | Yüksek | Yok* | 4.4.4 | Yalnızca Google |
* Mevcut tüm güncellemelerin yüklü olduğu desteklenen Nexus cihazlar bu güvenlik açığından etkilenmez.
lsof'ta ayrıcalık yükseltme güvenlik açığı
lsof'ta ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın cihazın güvenliğinin kalıcı olarak ihlal edilmesine yol açabilecek rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, yaygın olmayan manuel adımlar gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Nisan 2016 |
DexClassLoader'da ayrıcalık yükseltme güvenlik açığı
DexClassLoader'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, yaygın olmayan manuel adımlar gerektirdiği için orta düzey olarak değerlendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
Çerçeve API'lerinde ayrıcalık yükseltme güvenlik açığı
Framework API'lerinde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın yedekleme izinleri istemesine ve tüm yedekleme verilerini engellemesine olanak tanıyabilir. Uygulama verilerini diğer uygulamalardan ayıran işletim sistemi korumalarını atlamak için belirli izinler gerektirdiğinden bu sorun orta düzey olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
Bluetooth'ta ayrıcalık yükseltme güvenlik açığı
Bluetooth bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel bir saldırganın birincil kullanıcı için kalıcı olan kimliği doğrulanmış bir Bluetooth cihazı eklemesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan gelişmiş özellikler elde etmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [2] [3] | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Şubat 2016 |
NFC'de ayrıcalık yükseltme güvenlik açığı
NFC'de ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı arka plan uygulamasının ön plan uygulamasındaki bilgilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan gelişmiş özellikler elde etmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 Nisan 2016 |
Prizlerde ayrıcalık yükseltme güvenlik açığı
Soketlerde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın belirli yaygın olmayan soket türlerine erişmesine olanak tanıyabilir ve bu da çekirdek bağlamında keyfi kod yürütmeye neden olabilir. Bu sorun, platformdan yararlanan saldırganların zorluğunu artırmak için mevcut güvenlik önlemlerinin atlanmasına izin verebileceğinden Orta önem düzeyinde olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 Nisan 2016 |
Proxy Otomatik Yapılandırması'nda bilgi ifşa etme güvenlik açığı
Proxy Auto-Config bileşenindeki bilgi açığa çıkarma güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, izinsiz olarak verilere erişmek için kullanılabileceğinden orta düzeyde olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Mart 2016 |
Mediaserver'da bilgi ifşa güvenlik açığı
Mediaserver'da bilgi açığa çıkarma güvenlik açığı, yerel bir kötü amaçlı uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, izinsiz olarak verilere erişmek için kullanılabileceğinden orta düzeyde olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Nisan 2016 |
| CVE-2016-3765 | A-28168413 | Orta seviye | Tüm Nexus | 6.0, 6.0.1 | 8 Nisan 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki hizmet reddi güvenlik açığı, saldırganların cihazın donmasına veya yeniden başlatılmasına neden olmak için özel olarak hazırlanmış bir dosya kullanmasına olanak tanıyabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [2] | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Nisan 2016 |
2016-07-05 güvenlik yaması düzeyi—Zayıflık ayrıntıları
Aşağıdaki bölümlerde, 2016-07-05 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (varsa) ve bildirilme tarihi içeren bir tablo bulunur. Varsa sorunu gideren herkese açık değişikliği, AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek referanslar hata kimliğinin ardından gelen sayılara bağlanır.
Qualcomm GPU sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm GPU sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | Kritik (Critical) | Nexus 5X, Nexus 6P | 5 Nisan 2016 |
| CVE-2016-2067 | A-28305757 QC-CR988993 | Kritik (Critical) | Nexus 5X, Nexus 6, Nexus 6P | 20 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek kablosuz ağ sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod çalıştırmasına olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363*
M-ALPS02689526 |
Kritik (Critical) | Android One | 6 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm performans bileşeninde yetki yükseltme güvenlik açığı
Qualcomm performans bileşenindeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik önem düzeyinde olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | Kritik (Critical) | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
NVIDIA video sürücüsünde yetki yükseltme güvenlik açığı
NVIDIA video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 |
Kritik (Critical) | Nexus 9 | 18 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek sürücülerinde ayrıcalık yükseltme güvenlik açığı (Cihaza özgü)
Birden fazla MediaTek sürücüsünde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 |
Kritik (Critical) | Android One | 22 Nisan 2016 |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 |
Kritik (Critical) | Android One | 22 Nisan 2016 |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 |
Kritik (Critical) | Android One | 22 Nisan 2016 |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 |
Kritik (Critical) | Android One | 22 Nisan 2016 |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 |
Kritik (Critical) | Android One | 22 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | Kritik (Critical) | Nexus 5X, Nexus 6, Nexus 6P ve Nexus Player, Pixel C | 4 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
USB sürücüsünde yetki yükseltme güvenlik açığı
USB sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın kalıcı olarak yerel olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik önem düzeyinde olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | Kritik (Critical) | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 4 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm bileşenlerinde yetki yükseltme güvenlik açığı
Aşağıdaki tabloda önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıkları yer almaktadır.
Bu sorunlardan en ciddi olanı, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesine yol açabilecek keyfi kod çalıştırma olasılığı nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi* | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [2] |
Kritik (Critical) | Nexus 5 | 8 Ağustos 2014 |
| CVE-2014-9794 | A-28821172 QC-CR646385 |
Kritik (Critical) | Nexus 7 (2013) | 8 Ağustos 2014 |
| CVE-2015-8892 | A-28822807 QC-CR902998 |
Kritik (Critical) | Nexus 5X, Nexus 6P | 30 Aralık 2015 |
| CVE-2014-9781 | A-28410333 QC-CR556471 |
Yüksek | Nexus 7 (2013) | 6 Şubat 2014 |
| CVE-2014-9786 | A-28557260 QC-CR545979 |
Yüksek | Nexus 5, Nexus 7 (2013) | 13 Mart 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 |
Yüksek | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9779 | A-28598347 QC-CR548679 |
Yüksek | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 |
Yüksek | Nexus 5, Nexus 5X, Nexus 6P | 13 Mart 2014 |
| CVE-2014-9789 | A-28749392 QC-CR556425 |
Yüksek | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9793 | A-28821253 QC-CR580567 |
Yüksek | Nexus 7 (2013) | 13 Mart 2014 |
| CVE-2014-9782 | A-28431531 QC-CR511349 |
Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9783 | A-28441831 QC-CR511382 [2] |
Yüksek | Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9785 | A-28469042 QC-CR545747 |
Yüksek | Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9787 | A-28571496 QC-CR545764 |
Yüksek | Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9784 | A-28442449 QC-CR585147 |
Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9777 | A-28598501 QC-CR563654 |
Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9778 | A-28598515 QC-CR563694 |
Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9790 | A-28769136 QC-CR545716 [2] |
Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9792 | A-28769399 QC-CR550606 |
Yüksek | Nexus 5 | 30 Nisan 2014 |
| CVE-2014-9797 | A-28821090 QC-CR674071 |
Yüksek | Nexus 5 | 3 Temmuz 2014 |
| CVE-2014-9791 | A-28803396 QC-CR659364 |
Yüksek | Nexus 7 (2013) | 29 Ağustos 2014 |
| CVE-2014-9796 | A-28820722 QC-CR684756 |
Yüksek | Nexus 5, Nexus 7 (2013) | 30 Eylül 2014 |
| CVE-2014-9800 | A-28822150 QC-CR692478 |
Yüksek | Nexus 5, Nexus 7 (2013) | 31 Ekim 2014 |
| CVE-2014-9799 | A-28821731 QC-CR691916 |
Yüksek | Nexus 5, Nexus 7 (2013) | 31 Ekim 2014 |
| CVE-2014-9801 | A-28822060 QC-CR705078 |
Yüksek | Nexus 5 | 28 Kasım 2014 |
| CVE-2014-9802 | A-28821965 QC-CR705108 |
Yüksek | Nexus 5, Nexus 7 (2013) | 31 Aralık 2014 |
| CVE-2015-8891 | A-28842418 QC-CR813930 |
Yüksek | Nexus 5, Nexus 7 (2013) | 29 Mayıs 2015 |
| CVE-2015-8888 | A-28822465 QC-CR813933 |
Yüksek | Nexus 5 | 30 Haziran 2015 |
| CVE-2015-8889 | A-28822677 QC-CR804067 |
Yüksek | Nexus 6P | 30 Haziran 2015 |
| CVE-2015-8890 | A-28822878 QC-CR823461 |
Yüksek | Nexus 5, Nexus 7 (2013) | 19 Ağustos 2015 |
* Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanır.
Qualcomm USB sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm USB sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | Yüksek | Nexus 5X, Nexus 6P | 11 Mart 2016 |
Qualcomm kablosuz sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | Yüksek | Nexus 7 (2013) | 17 Mart 2016 |
Qualcomm kamera sürücüsünde yetki yükseltme güvenlik açığı
Qualcomm kamera sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 Mart 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
NVIDIA kamera sürücüsünde ayrıcalık yükseltme güvenlik açığı
NVIDIA kamera sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 |
Yüksek | Nexus 9 | 5 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek güç sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek güç sürücüsünde ayrıcalık yükseltilmesi, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 |
Yüksek | Android One | 7 Nisan 2016 |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 |
Yüksek | Android One | 7 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm kablosuz sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | Yüksek | Nexus 5X | 7 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek donanım sensör sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek donanım sensör sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 |
Yüksek | Android One | 11 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek video sürücüsünde yetki yükseltme güvenlik açığı
MediaTek video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 |
Yüksek | Android One | 11 Nisan 2016 |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 |
Yüksek | Android One | 11 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek GPS sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek GPS sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 |
Yüksek | Android One | 11 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | Yüksek | Nexus 9 | 19 Nisan 2016 |
| CVE-2016-3803 | A-28588434* | Yüksek | Nexus 5X, Nexus 6P | 4 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek güç yönetimi sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek güç yönetimi sürücüsünde ayrıcalık yükseltilmesi, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 |
Yüksek | Android One | 20 Nisan 2016 |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 |
Yüksek | Android One | 21 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek ekran sürücüsünde yetki yükseltme güvenlik açığı
MediaTek görüntü sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 |
Yüksek | Android One | 26 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Seri çevre birimi arayüzü sürücüsünde ayrıcalık yükseltme güvenlik açığı
Seri çevre birimi arayüzü sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | Yüksek | Nexus 5X, Nexus 6P | 26 Nisan 2016 |
| CVE-2016-3808 | A-28430009* | Yüksek | Pixel C | 26 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm ses sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm ses sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için bu sorun yüksek önem düzeyinde olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 28 Nisan 2016 |
Çekirdekte ayrıcalık yükseltme güvenlik açığı
Çekirdekteki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 Upstream çekirdek |
Yüksek | Nexus 5X, Nexus 6P | Yalnızca Google |
Ağ iletişimi bileşeninde bilgi ifşa etme güvenlik açığı
Ağ bileşenindeki bilgi açığa çıkarma güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | Yüksek | Tüm Nexus | 5 Mart 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek kablosuz ağ sürücüsünde bilgi ifşa etme güvenlik açığı
MediaTek kablosuz sürücüsündeki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 |
Yüksek | Android One | 12 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek video sürücüsünde yetki yükseltme güvenlik açığı
Çekirdek video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | Orta seviye | Nexus 9 | Yalnızca Google |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek video codec sürücüsünde bilgi ifşa etme güvenlik açığı
MediaTek video codec sürücüsündeki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 |
Orta seviye | Android One | 11 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm USB sürücüsünde bilgi ifşa etme güvenlik açığı
Qualcomm USB sürücüsündeki bir bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | Orta seviye | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 11 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
NVIDIA kamera sürücüsünde bilgi ifşa etme güvenlik açığı
NVIDIA kamera sürücüsündeki bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 |
Orta seviye | Nexus 9 | 14 Nisan 2016 |
| CVE-2016-3815 | A-28522274* N-CVE20163815 |
Orta seviye | Nexus 9 | 1 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek ekran sürücüsünde bilgi ifşa güvenlik açığı
MediaTek ekran sürücüsündeki bir bilgi açıklaması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | Orta seviye | Android One | 26 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek teletip sürücüsünde bilgi ifşa etme güvenlik açığı
Telgraf sürücüsündeki bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 Yukarı yönlü çekirdek |
Orta seviye | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 26 Nisan 2016 |
Qualcomm önyükleyicisinde hizmet reddi güvenlik açığı
Qualcomm önyükleyicisindeki hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın yerel kalıcı bir cihaz güvenliği ihlaline neden olmasına neden olabilir. Bu durumda, cihazı onarmak için işletim sisteminin yeniden yanıp sönmesi gerekebilir. Bu sorun, önce ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | Orta seviye | Nexus 5 | 31 Ekim 2014 |
| CVE-2015-8893 | A-28822690 QC-CR822275 | Orta seviye | Nexus 5, Nexus 7 (2013) | 19 Ağustos 2015 |
Sık sorulan sorular ve yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek yaygın sorular yanıtlanmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
01.07.2016 veya sonraki güvenlik yaması düzeyleri, 01.07.2016 güvenlik yaması dizesi düzeyiyle ilişkili tüm sorunları giderir. 05.07.2016 veya sonraki güvenlik yaması düzeyleri, 05.07.2016 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları giderir. Güvenlik yaması seviyesini nasıl kontrol edeceğinizle ilgili talimatlar için Yardım Merkezi'ne bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-07-01] veya [ro.build.version.security_patch]:[2016-07-05].
2. Bu bültende neden iki güvenlik yaması düzeyi dizesi var?
Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer olan güvenlik açıklarının bir alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi içerir. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmesi ve en son güvenlik yaması düzeyi dizesini kullanması önerilir.
5 Temmuz 2016 veya daha yeni bir güvenlik yaması düzeyini kullanan cihazlarda bu (ve önceki) güvenlik bültenlerindeki tüm geçerli yamalar bulunmalıdır.
1 Temmuz 2016 güvenlik yaması düzeyini kullanan cihazlar, bu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir. 1 Temmuz 2016 güvenlik yaması düzeyini kullanan cihazlar, 5 Temmuz 2016 güvenlik yaması düzeyiyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
3. Her sorundan hangi Nexus cihazların etkilendiğini nasıl öğrenebilirim?
2016-07-01 ve 2016-07-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda her sorun için güncellenen etkilenen Nexus cihaz aralığını kapsayan bir Güncellenen Nexus cihazlar sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazlar: Bir sorun tüm Nexus cihazları etkiliyorsa tablonun Güncellenen Nexus cihazlar sütununda "Tüm Nexus" ifadesi yer alır. "Tüm Nexus", aşağıdaki desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazlar: Bir sorun tüm Nexus cihazları etkilemiyorsa etkilenen Nexus cihazlar Güncellenen Nexus cihazlar sütununda listelenir.
- Nexus cihaz yok: Sorundan etkilenen Nexus cihaz yoksa tablonun Güncellenen Nexus cihazlar sütununda "Yok" ifadesi yer alır.
4. Referanslar sütunundaki girişler neyle eşlenir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir ön ek içerebilir. Bu ön ekler aşağıdaki gibi eşlenir:
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| QC- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
Düzeltmeler
- 6 Temmuz 2016: Bülten yayınlandı.
- 7 Temmuz 2016:
- AOSP bağlantıları eklendi.
- CVE-2016-3814'ün kopyası olduğu için CVE-2016-3794 kaldırıldı
- CVE-2016-2501 ve CVE-2016-2502 için ilişkilendirme eklendi
- 11 Temmuz 2016: CVE-2016-3750 için ilişkilendirme güncellendi
- 14 Temmuz 2016: CVE-2016-2503 için ilişkilendirme güncellendi
- 1 Nisan 2019: CVE-2016-3818 için güncellenmiş yama bağlantıları