06 Temmuz 2016'da yayınlandı | 1 Nisan 2019'da güncellendi
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 05 Temmuz 2016 veya sonraki güvenlik düzeltme eki düzeyleri bu bültende yer alan tüm geçerli sorunları ele almaktadır. Güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için belgelere bakın.
Bültende açıklanan hususlarla ilgili olarak ortaklara 06 Haziran 2016 veya öncesinde bilgi verilmiştir. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten aynı zamanda AOSP dışındaki yamalara bağlantılar da içermektedir.
Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.
Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltımları bölümüne bakın.
Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bülten, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi tanımlar. Ek bilgi için Yaygın sorular ve yanıtlara bakın:
- 2016-07-01 : Kısmi güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 01.07.2016 ile ilgili tüm sorunların giderildiğini gösterir.
- 2016-07-05 : Tam güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyindeki dize, 01.07.2016 ve 05.07.2016 ile ilişkili tüm sorunların giderildiğini gösterir.
- Desteklenen Nexus cihazları, 05 Temmuz 2016 güvenlik yaması düzeyinde tek bir OTA güncellemesi alacaktır.
Android ve Google hizmet azaltımları
Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür ederiz:
- Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- Adam Donenfeld ve ark. Check Point Software Technologies Ltd.'nin ofisi: CVE-2016-2503
- Google'dan Adam Powell: CVE-2016-3752
- Bağlam Bilgi Güvenliği'nden Alex Chapman ve Paul Stone: CVE-2016-3763
- e2e-assure'dan Andy Tyler ( @ticarpi ): CVE-2016-2457
- Google Project Zero'dan Ben Hawkes: CVE-2016-3775
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( bilgisayar@gmail.com ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
- Google'dan Christopher Tate: CVE-2016-3759
- KeenLab'dan Di Shen ( @returnsme ) ( @keen_lab ), Tencent: CVE-2016-3762
- Gengjia Chen ( @chengjia4574 ), IceSword Lab'den pjf ( weibo.com/jfpan ), Qihoo 360 Technology Co. Ltd .: CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
- Google Android Ekibi'nden Greg Kaiser: CVE-2016-3758
- Mobile Safe Team'den Guang Gong (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
- Alpha Team'den Hao Chen ve Guang Gong, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
- Güvenlik Araştırma Laboratuvarı'ndan Hao Qin, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
- IceSword Lab'den Jianqiang Zhao ( @jianqiangzhao ) ve pjf ( weibo.com/jfpan ), Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
- Google'dan Marco Nelissen: CVE-2016-3818
- Google Project Zero'nun Mark Markası: CVE-2016-3757
- Michał Bednarski : CVE-2016-3750
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
- Alibaba Mobile Security Group'tan Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang Ssong: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
- Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-3793
- Google'dan Ricky Wai: CVE-2016-3749
- Roeland Krak: CVE-2016-3753
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
- Vasili Vasilev: CVE-2016-2507
- Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-2508, CVE-2016-3755
- Wen Niu ( @NWMonster ), KeenLab'dan ( @keen_lab ), Tencent: CVE-2016-3809
- Tencent Güvenlik Platformu Departmanından Xiling Gong: CVE-2016-3745
- TCA Laboratuvarı'ndan Yacong Gu, Yazılım Enstitüsü, Çin Bilimler Akademisi: CVE-2016-3761
- Xuanwu LAB'dan Yongke Wang ( @Rudykewang ), Tencent: CVE-2016-2505
- Xuanwu LAB'dan Yongke Wang ( @Rudykewang ) ve Wei Wei ( @Danny__Wei ), Tencent: CVE-2016-2506
- Baidu X-Lab'dan Yulong Zhang ve Tao (Lenx) Wei: CVE-2016-3744
2016-07-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-07-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili referansları, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak verebilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Nis 2016 |
| CVE-2016-2505 | A-28333006 | Kritik | Tüm Nexus'lar | 6.0, 6.0.1 | 21 Nis 2016 |
| CVE-2016-2507 | A-28532266 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mayıs 2016 |
| CVE-2016-2508 | A-28799341 [ 2 ] | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Mayıs 2016 |
| CVE-2016-3741 | A-28165661 [ 2 ] | Kritik | Tüm Nexus'lar | 6.0, 6.0.1 | Google dahili |
| CVE-2016-3742 | A-28165659 | Kritik | Tüm Nexus'lar | 6.0, 6.0.1 | Google dahili |
| CVE-2016-3743 | A-27907656 | Kritik | Tüm Nexus'lar | 6.0, 6.0.1 | Google dahili |
OpenSSL ve BoringSSL'de uzaktan kod yürütme güvenlik açığı
OpenSSL ve BoringSSL'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın dosya ve veri işleme sırasında bellek bozulmasına neden olmasına olanak verebilir. Bu sorun, etkilenen bir işlem bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Mayıs 2016 |
Bluetooth'ta uzaktan kod yürütme güvenlik açığı
Bluetooth'taki bir uzaktan kod yürütme güvenlik açığı, yakınsal bir saldırganın eşleştirme işlemi sırasında rastgele kod yürütmesine izin verebilir. Bu sorun, Bluetooth aygıtının başlatılması sırasında uzaktan kod yürütülmesi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 Mart 2016 |
Libpng'de ayrıcalık yükselmesi güvenlik açığı
Libpng'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, üçüncü taraf bir uygulamanın erişemediği İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Aralık 2015 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, üçüncü taraf bir uygulamanın erişemediği İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Nis 2016 |
| CVE-2016-3746 | A-27890802 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Mart 2016 |
| CVE-2016-3747 | A-27903498 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Mart 2016 |
Soketlerde ayrıcalık yükselmesi güvenlik açığı
Soketlerdeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyi dışındaki sistem çağrılarına erişmesine olanak tanıyabilir. Bu sorun Yüksek olarak derecelendirilmiştir çünkü saldırganların platformu istismar etmesini zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebilir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | Yüksek | Tüm Nexus'lar | 6.0, 6.0.1 | 13 Nis 2016 |
LockSettingsService'te ayrıcalık yükselmesi güvenlik açığı
LockSettingsService'teki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın, kullanıcının izni olmadan ekran kilidi parolasını sıfırlamasına olanak tanıyabilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğundan Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | Yüksek | Tüm Nexus'lar | 6.0, 6.0.1 | Google dahili |
Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı
Parcels Framework API'lerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın erişim sahibi olmadığı verilere erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Aralık 2015 |
ChooserTarget hizmetinde ayrıcalık yükselmesi güvenlik açığı
ChooserTarget hizmetindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın başka bir uygulama bağlamında kod yürütmesine olanak tanıyabilir. Bu sorun, başka bir uygulamaya ait Etkinliklere izinsiz olarak erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | Yüksek | Tüm Nexus'lar | 6.0, 6.0.1 | Google dahili |
Mediaserver'da bilgilerin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, uzaktaki bir saldırganın, normalde yalnızca yerel olarak yüklenmiş ve izin isteyen uygulamalar tarafından erişilebilen korumalı verilere erişmesine olanak tanıyabilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | Yüksek | Hiçbiri* | 4.4.4 | 15 Şubat 2016 |
* Mevcut tüm güncellemelerin yüklü olduğu desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
OpenSSL'de bilgilerin açığa çıkması güvenlik açığı
OpenSSL'deki bir bilginin açığa çıkması güvenlik açığı, uzaktaki bir saldırganın, normalde yalnızca yerel olarak yüklenmiş ve izin isteyen uygulamalar tarafından erişilebilen korumalı verilere erişmesine olanak tanıyabilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | Yüksek | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1 | 13 Nisan 2016 |
* Mevcut tüm güncellemelerin yüklü olduğu desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [ 2 ] | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Mayıs 2016 |
| CVE-2016-3755 | A-28470138 | Yüksek | Tüm Nexus'lar | 6.0, 6.0.1 | 29 Nisan 2016 |
| CVE-2016-3756 | A-28556125 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Libc'de hizmet reddi güvenlik açığı
libc'deki hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [ 2 ] | Yüksek | Hiçbiri* | 4.4.4 | Google dahili |
* Mevcut tüm güncellemelerin yüklü olduğu desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
lsof'ta ayrıcalık yükselmesi güvenlik açığı
lsof'taki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın kalıcı bir cihaz güvenliği ihlaline yol açabilecek rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yaygın olmayan manuel adımlar gerektirdiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Nis 2016 |
DexClassLoader'da ayrıcalık yükselmesi güvenlik açığı
DexClassLoader'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, yaygın olmayan manuel adımlar gerektirdiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı
Çerçeve API'lerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın yedekleme izinleri istemesine ve tüm yedekleme verilerine müdahale etmesine olanak sağlayabilir. Bu sorun, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamak için özel izinler gerektirdiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | Ilıman | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Bluetooth'ta ayrıcalık yükselmesi güvenlik açığı
Bluetooth bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir saldırganın birincil kullanıcı için kalıcı olan, kimliği doğrulanmış bir Bluetooth cihazı eklemesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [ 2 ] [ 3 ] | Ilıman | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Şubat 2016 |
NFC'de ayrıcalık yükselmesi güvenlik açığı
NFC'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir arka plan uygulamasının, ön plandaki bir uygulamadan gelen bilgilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 Nis 2016 |
Soketlerde ayrıcalık yükselmesi güvenlik açığı
Soketlerdeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın belirli yaygın olmayan soket türlerine erişmesine olanak tanıyarak çekirdek bağlamında rastgele kod yürütülmesine neden olabilir. Bu sorun Orta olarak derecelendirilmiştir çünkü saldırganların platformu istismar etmesini zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebilir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | Ilıman | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 Nis 2016 |
Proxy Otomatik Yapılandırmasında bilgilerin açığa çıkması güvenlik açığı
Proxy Otomatik Yapılandırma bileşenindeki bilgilerin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Mart 2016 |
Mediaserver'da bilgilerin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Nis 2016 |
| CVE-2016-3765 | A-28168413 | Ilıman | Tüm Nexus'lar | 6.0, 6.0.1 | 8 Nis 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [ 2 ] | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Nisan 2016 |
2016-07-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-07-05 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili referansları, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.
Qualcomm GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | Kritik | Nexus 5X, Nexus 6P | 5 Nis 2016 |
| CVE-2016-2067 | A-28305757 QC-CR988993 | Kritik | Nexus 5X, Nexus 6, Nexus 6P | 20 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363* M-ALPS02689526 | Kritik | Android Bir | 6 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm performans bileşeninde ayrıcalık yükselmesi güvenlik açığı
Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | Kritik | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
NVIDIA video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 | Kritik | Nexus 9 | 18 Nisan 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek sürücülerinde ayrıcalık yükselmesi güvenlik açığı (Cihaza özel)
Birden fazla MediaTek sürücüsündeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 | Kritik | Android Bir | 22 Nis 2016 |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 | Kritik | Android Bir | 22 Nis 2016 |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 | Kritik | Android Bir | 22 Nis 2016 |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 | Kritik | Android Bir | 22 Nis 2016 |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 | Kritik | Android Bir | 22 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | Kritik | Nexus 5X, Nexus 6, Nexus 6P ve Nexus Oynatıcı, Pixel C | 4 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı
USB sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | Kritik | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Oynatıcı, Pixel C | 4 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm bileşenlerinde ayrıcalık yükselmesi güvenlik açığı
Aşağıdaki tablo, önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
Bu sorunlardan en ciddi olanı, keyfi kod yürütme olasılığı nedeniyle, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığına yol açması nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet* | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [ 2 ] | Kritik | Nexus 5 | 8 Ağustos 2014 |
| CVE-2014-9794 | A-28821172 QC-CR646385 | Kritik | Nexus7 (2013) | 8 Ağustos 2014 |
| CVE-2015-8892 | A-28822807 QC-CR902998 | Kritik | Nexus 5X, Nexus 6P | 30 Aralık 2015 |
| CVE-2014-9781 | A-28410333 QC-CR556471 | Yüksek | Nexus7 (2013) | 6 Şubat 2014 |
| CVE-2014-9786 | A-28557260 QC-CR545979 | Yüksek | Nexus 5, Nexus 7 (2013) | 13 Mart 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 | Yüksek | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9779 | A-28598347 QC-CR548679 | Yüksek | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 | Yüksek | Nexus 5, Nexus 5X, Nexus 6P | 13 Mart 2014 |
| CVE-2014-9789 | A-28749392 QC-CR556425 | Yüksek | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9793 | A-28821253 QC-CR580567 | Yüksek | Nexus7 (2013) | 13 Mart 2014 |
| CVE-2014-9782 | A-28431531 QC-CR511349 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9783 | A-28441831 QC-CR511382 [ 2 ] | Yüksek | Nexus7 (2013) | 31 Mart 2014 |
| CVE-2014-9785 | A-28469042 QC-CR545747 | Yüksek | Nexus7 (2013) | 31 Mart 2014 |
| CVE-2014-9787 | A-28571496 QC-CR545764 | Yüksek | Nexus7 (2013) | 31 Mart 2014 |
| CVE-2014-9784 | A-28442449 QC-CR585147 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9777 | A-28598501 QC-CR563654 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9778 | A-28598515 QC-CR563694 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9790 | A-28769136 QC-CR545716 [ 2 ] | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9792 | A-28769399 QC-CR550606 | Yüksek | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9797 | A-28821090 QC-CR674071 | Yüksek | Nexus 5 | 3 Temmuz 2014 |
| CVE-2014-9791 | A-28803396 QC-CR659364 | Yüksek | Nexus7 (2013) | 29 Ağustos 2014 |
| CVE-2014-9796 | A-28820722 QC-CR684756 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Eylül 2014 |
| CVE-2014-9800 | A-28822150 QC-CR692478 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Ekim 2014 |
| CVE-2014-9799 | A-28821731 QC-CR691916 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Ekim 2014 |
| CVE-2014-9801 | A-28822060 QC-CR705078 | Yüksek | Nexus 5 | 28 Kasım 2014 |
| CVE-2014-9802 | A-28821965 QC-CR705108 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Aralık 2014 |
| CVE-2015-8891 | A-28842418 QC-CR813930 | Yüksek | Nexus 5, Nexus 7 (2013) | 29 Mayıs 2015 |
| CVE-2015-8888 | A-28822465 QC-CR813933 | Yüksek | Nexus 5 | 30 Haziran 2015 |
| CVE-2015-8889 | A-28822677 QC-CR804067 | Yüksek | Nexus 6P | 30 Haziran 2015 |
| CVE-2015-8890 | A-28822878 QC-CR823461 | Yüksek | Nexus 5, Nexus 7 (2013) | 19 Ağustos 2015 |
* Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanmaktadır.
Qualcomm USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm USB sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | Yüksek | Nexus 5X, Nexus 6P | 11 Mart 2016 |
Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | Yüksek | Nexus7 (2013) | 17 Mart 2016 |
Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 Mart 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
NVIDIA kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 | Yüksek | Nexus 9 | 5 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek güç sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek güç sürücüsünde ayrıcalık yükselmesi, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 | Yüksek | Android Bir | 7 Nisan 2016 |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 | Yüksek | Android Bir | 7 Nisan 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | Yüksek | Nexus5X | 7 Nisan 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek donanım sensörü sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek donanım sensörü sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 | Yüksek | Android Bir | 11 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 | Yüksek | Android Bir | 11 Nis 2016 |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 | Yüksek | Android Bir | 11 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek GPS sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek GPS sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 | Yüksek | Android Bir | 11 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | Yüksek | Nexus 9 | 19 Nisan 2016 |
| CVE-2016-3803 | A-28588434* | Yüksek | Nexus 5X, Nexus 6P | 4 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek güç yönetimi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek güç yönetimi sürücüsünde ayrıcalık yükselmesi, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 | Yüksek | Android Bir | 20 Nis 2016 |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 | Yüksek | Android Bir | 21 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 | Yüksek | Android Bir | 26 Nisan 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Seri çevre birimi arabirim sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Seri çevre birimi arabirim sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | Yüksek | Nexus 5X, Nexus 6P | 26 Nisan 2016 |
| CVE-2016-3808 | A-28430009* | Yüksek | Piksel C | 26 Nisan 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek önem derecesine sahiptir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 28 Nis 2016 |
Çekirdekte ayrıcalık yükselmesi güvenlik açığı
Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 Yukarı akış çekirdeği | Yüksek | Nexus 5X, Nexus 6P | Google dahili |
Ağ bileşeninde bilgilerin açığa çıkması güvenlik açığı
Ağ bileşenindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | Yüksek | Tüm Nexus'lar | 5 Mart 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek Wi-Fi sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
MediaTek Wi-Fi sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 | Yüksek | Android Bir | 12 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | Ilıman | Nexus 9 | Google dahili |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek video codec sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
MediaTek video codec sürücüsündeki bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 | Ilıman | Android Bir | 11 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm USB sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
Qualcomm USB sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | Ilıman | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 11 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
NVIDIA kamera sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
NVIDIA kamera sürücüsündeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 | Ilıman | Nexus 9 | 14 Nis 2016 |
| CVE-2016-3815 | A-28522274* N-CVE20163815 | Ilıman | Nexus 9 | 1 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek ekran sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
MediaTek ekran sürücüsündeki bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | Ilıman | Android Bir | 26 Nisan 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdek teletip sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
Teletip sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 Yukarı akış çekirdeği | Ilıman | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Oynatıcı, Pixel C | 26 Nisan 2016 |
Qualcomm önyükleyicisinde hizmet reddi güvenlik açığı
Qualcomm önyükleyicisindeki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı bir aygıt güvenliği ihlaline neden olmasına olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | Ilıman | Nexus 5 | 31 Ekim 2014 |
| CVE-2015-8893 | A-28822690 QC-CR822275 | Ilıman | Nexus 5, Nexus 7 (2013) | 19 Ağustos 2015 |
Ortak sorular ve cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.
1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?
2016-07-01 veya sonraki Güvenlik Düzeltme Eki Düzeyleri, 2016-7-01 güvenlik düzeltme eki dize düzeyiyle ilişkili tüm sorunları giderir. 2016-07-05 veya sonraki Güvenlik Düzeltme Eki Düzeyleri, 2016-07-05 güvenlik düzeltme eki dize düzeyiyle ilişkili tüm sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için yardım merkezine başvurun. Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-07-01] veya [ro.build.version.security_patch]:[2016-07-05].
2. Bu bültende neden iki güvenlik yaması düzeyi dizisi var?
Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını düzeltmek için daha hızlı hareket etme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi bulunmaktadır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyi dizesini kullanmaları önerilir.
5 Temmuz 2016 veya daha yeni bir güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
1 Temmuz 2016 güvenlik yaması düzeyini kullanan cihazlar, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunlara yönelik düzeltmeleri de içermelidir. 1 Temmuz 2016 güvenlik yaması düzeyini kullanan cihazlar aynı zamanda 5 Temmuz 2016 güvenlik yaması düzeyiyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
3. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
2016-07-01 ve 2016-07-05 güvenlik açığı ayrıntıları bölümlerinde, her tablonun, her sorun için güncellenen, etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu vardır. Bu sütunun birkaç seçeneği vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi görünür. "Tüm Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmediyse tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
4. Referanslar sütunundaki girişler neyle eşleşiyor?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler aşağıdaki gibi eşlenir:
| Önek | Referans |
|---|---|
| A- | Android hata kimliği |
| Kalite kontrol- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
Revizyonlar
- 06 Temmuz 2016: Bülten yayınlandı.
- 07 Temmuz 2016:
- AOSP bağlantıları eklendi.
- CVE-2016-3794, CVE-2016-3814'ün kopyası olduğundan kaldırıldı
- CVE-2016-2501 ve CVE-2016-2502 için ilişkilendirme eklendi
- 11 Temmuz 2016: CVE-2016-3750'nin atıf güncellendi
- 14 Temmuz 2016: CVE-2016-2503'ün atıf güncellendi
- 1 Nisan 2019: CVE-2016-3818 için güncellenmiş yama bağlantıları