06 Temmuz 2016 tarihinde yayınlandı | 1 Nisan 2019 güncellendi
Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Temmuz 2016 veya sonraki güvenlik düzeltme eki seviyeleri, bu bültendeki tüm geçerli sorunları ele almaktadır. Güvenlik düzeltme eki düzeyini nasıl kontrol edeceğinizi öğrenmek için belgelere bakın.
Ortaklar, bültende açıklanan sorunlar hakkında 06 Haziran 2016 veya daha önce bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.
Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltma bölümüne bakın.
Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyi dizesi tanımlar. Ek bilgi için Genel sorular ve yanıtlara bakın:
- 2016-07-01 : Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-07-01 ile ilişkili tüm sorunların giderildiğini gösterir.
- 2016-07-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-07-01 ve 2016-07-05 ile ilişkili tüm sorunların ele alındığını gösterir.
- Desteklenen Nexus cihazları, 05 Temmuz 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacak.
Android ve Google hizmeti azaltmaları
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- Google Chrome Güvenlik Ekibinden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- Adam Donenfeld ve ark. Check Point Software Technologies Ltd.'den: CVE-2016-2503
- Google'dan Adam Powell: CVE-2016-3752
- Alex Chapman ve Paul Stone of Context Information Security: CVE-2016-3763
- e2e- assure'dan Andy Tyler ( @ticarpi ) : CVE-2016-2457
- Google Project Zero'dan Ben Hawkes: CVE-2016-3775
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
- Google'dan Christopher Tate: CVE-2016-3759
- KeenLab ( @keen_lab ), Tencent: CVE-2016-3762'den Di Shen ( @returnsme )
- IceSword Lab, Qihoo 360 Technology Co. Ltd.'den Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) : CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
- Google Android Ekibinden Greg Kaiser: CVE-2016-3758
- Mobile Safe Team'den Guang Gong (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
- Alfa Ekibinden Hao Chen ve Guang Gong, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
- Güvenlik Araştırma Laboratuvarı'ndan Hao Qin, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
- IceSword Lab, Qihoo 360 Technology Co. Ltd'den Jianqiang Zhao ( @jianqiangzhao ) ve pjf ( weibo.com/jfpan ) : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
- Google'dan Marco Nelissen: CVE-2016-3818
- Google Project Zero Marka Markası: CVE-2016-3757
- Michał Bednarski : CVE-2016-3750
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
- Alibaba Mobile Security Group'tan Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang Ssong: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
- Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-3793
- Google'dan Ricky Wai: CVE-2016-3749
- Roeland Krak: CVE-2016-3753
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
- Vasiliy Vasilev: CVE-2016-2507
- Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-2508, CVE-2016-3755
- Wen Niu ( @NWMonster ) KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
- Tencent Güvenlik Platformu Departmanından Xiling Gong: CVE-2016-3745
- TCA Laboratuvarı'ndan Yacong Gu, Yazılım Enstitüsü, Çin Bilimler Akademisi: CVE-2016-3761
- Xuanwu LAB'den Yongke Wang ( @Rudykewang ), Tencent: CVE-2016-2505
- Xuanwu LAB, Tencent'ten Yongke Wang ( @Rudykewang ) ve Wei Wei ( @Danny__Wei ) Tencent: CVE-2016-2506
- Baidu X-Lab'dan Yulong Zhang ve Tao (Lenx) Wei: CVE-2016-3744
2016-07-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-07-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Nis 2016 |
| CVE-2016-2505 | A-28333006 | kritik | Tüm Bağlantılar | 6.0, 6.0.1 | 21 Nis 2016 |
| CVE-2016-2507 | A-28532266 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mayıs 2016 |
| CVE-2016-2508 | A-28799341 [ 2 ] | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Mayıs 2016 |
| CVE-2016-3741 | A-28165661 [ 2 ] | kritik | Tüm Bağlantılar | 6.0, 6.0.1 | Google dahili |
| CVE-2016-3742 | A-28165659 | kritik | Tüm Bağlantılar | 6.0, 6.0.1 | Google dahili |
| CVE-2016-3743 | A-27907656 | kritik | Tüm Bağlantılar | 6.0, 6.0.1 | Google dahili |
OpenSSL ve BoringSSL'de uzaktan kod yürütme güvenlik açığı
OpenSSL ve BoringSSL'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın dosya ve veri işleme sırasında belleğin bozulmasına neden olabilir. Etkilenen bir süreç bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Mayıs 2016 |
Bluetooth'ta uzaktan kod yürütme güvenlik açığı
Bluetooth'taki bir uzaktan kod yürütme güvenlik açığı, yakın bir saldırganın eşleştirme işlemi sırasında rasgele kod yürütmesine izin verebilir. Bir Bluetooth cihazının başlatılması sırasında uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-2793058 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 Mart 2016 |
libpng'de ayrıcalık yükselmesi güvenlik açığı
libpng'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Ara 2015 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Nis 2016 |
| CVE-2016-3746 | A-27890802 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Mart 2016 |
| CVE-2016-3747 | A-27903498 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Mart 2016 |
Soketlerde ayrıcalık yükselmesi güvenlik açığı
Soketlerdeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, izin düzeyinin dışındaki sistem çağrılarına erişmesine olanak verebilir. Saldırganların platformdan yararlanmasını zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebileceği için bu sorun Yüksek olarak derecelendirildi.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | Yüksek | Tüm Bağlantılar | 6.0, 6.0.1 | 13 Nis 2016 |
LockSettingsService'te ayrıcalık yükselmesi güvenlik açığı
LockSettingsService'teki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın, kullanıcının izni olmadan ekran kilidi parolasını sıfırlamasına olanak verebilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | Yüksek | Tüm Bağlantılar | 6.0, 6.0.1 | Google dahili |
Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı
Parcels Framework API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak verebilir. Bu sorun, uygulamanın erişimi olmayan verilere erişim sağlamak için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 Ara 2015 |
ChooserTarget hizmetinde ayrıcalık yükselmesi güvenlik açığı
ChooserTarget hizmetindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın başka bir uygulama bağlamında kod yürütmesine olanak verebilir. Bu sorun, izinsiz olarak başka bir uygulamaya ait Etkinliklere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | Yüksek | Tüm Bağlantılar | 6.0, 6.0.1 | Google dahili |
Mediaserver'da bilginin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, uzaktaki bir saldırganın normalde yalnızca izin isteyen yerel olarak yüklenmiş uygulamalar tarafından erişilebilen korumalı verilere erişmesine olanak verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | Yüksek | Hiçbiri* | 4.4.4 | 15 Şub 2016 |
* Mevcut tüm güncellemeleri yükleyen desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
OpenSSL'de bilginin açığa çıkması güvenlik açığı
OpenSSL'deki bir bilginin açığa çıkması güvenlik açığı, uzaktaki bir saldırganın normalde yalnızca izin isteyen yerel olarak yüklenmiş uygulamalar tarafından erişilebilen korumalı verilere erişmesine olanak verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | Yüksek | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1 | 13 Nisan 2016 |
* Mevcut tüm güncellemeleri yükleyen desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [ 2 ] | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Mayıs 2016 |
| CVE-2016-3755 | A-28470138 | Yüksek | Tüm Bağlantılar | 6.0, 6.0.1 | 29 Nis 2016 |
| CVE-2016-3756 | A-28556125 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
libc'de hizmet reddi güvenlik açığı
Libc'deki bir hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [ 2 ] | Yüksek | Hiçbiri* | 4.4.4 | Google dahili |
* Mevcut tüm güncellemeleri yükleyen desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
lsof'ta ayrıcalık yükselmesi güvenlik açığı
lsof'ta bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, kalıcı bir aygıt güvenliğinin ihlal edilmesine yol açabilecek rastgele kod yürütmesine olanak verebilir. Bu sorun, olağandışı manuel adımlar gerektirdiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Nis 2016 |
DexClassLoader'da ayrıcalık yükselmesi güvenlik açığı
DexClassLoader'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, olağandışı manuel adımlar gerektirdiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı
Framework API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın yedekleme izinleri istemesine ve tüm yedekleme verilerini ele geçirmesine olanak sağlayabilir. Uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamak için belirli izinler gerektirdiğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Bluetooth'ta ayrıcalık yükselmesi güvenlik açığı
Bluetooth bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir saldırganın birincil kullanıcı için devam eden kimliği doğrulanmış bir Bluetooth aygıtı eklemesine olanak verebilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [ 2 ] [ 3 ] | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Şub 2016 |
NFC'de ayrıcalık yükselmesi güvenlik açığı
NFC'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı arka plan uygulamasının bir ön plan uygulamasından bilgilere erişmesini sağlayabilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-2830969 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 Nis 2016 |
Soketlerde ayrıcalık yükselmesi güvenlik açığı
Soketlerdeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, muhtemelen çekirdek bağlamında rasgele kod yürütülmesine yol açan belirli yaygın olmayan yuva türlerine erişmesine olanak verebilir. Saldırganların platformdan yararlanmasını zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebileceği için bu sorun Orta olarak derecelendirildi.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 Nis 2016 |
Proxy Otomatik Yapılandırmasında bilginin açığa çıkması güvenlik açığı
Proxy Otomatik Yapılandırma bileşenindeki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Mart 2016 |
Mediaserver'da bilginin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Nis 2016 |
| CVE-2016-3765 | A-28168413 | Ilıman | Tüm Bağlantılar | 6.0, 6.0.1 | 8 Nis 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [ 2 ] | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 Nis 2016 |
2016-07-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-07-05 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Qualcomm GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | kritik | Nexus 5X, Nexus 6P | 5 Nis 2016 |
| CVE-2016-2067 | A-28305757 QC-CR988993 | kritik | Nexus 5X, Nexus 6, Nexus 6P | 20 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363* M-ALPS02689526 | kritik | Android Bir | 6 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm performans bileşeninde ayrıcalık yükselmesi güvenlik açığı
Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | kritik | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 | kritik | Bağlantı Noktası 9 | 18 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek sürücülerinde ayrıcalık yükselmesi güvenlik açığı (Cihaza özel)
Birden çok MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 | kritik | Android Bir | 22 Nis 2016 |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 | kritik | Android Bir | 22 Nis 2016 |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 | kritik | Android Bir | 22 Nis 2016 |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 | kritik | Android Bir | 22 Nis 2016 |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 | kritik | Android Bir | 22 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | kritik | Nexus 5X, Nexus 6, Nexus 6P ve Nexus Oynatıcı, Pixel C | 4 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı
USB sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | kritik | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Oynatıcı, Piksel C | 4 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm bileşenlerinde ayrıcalık yükselmesi güvenlik açığı
Aşağıdaki tablo, önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
Bu sorunlardan en ağır olanı, yerel kalıcı bir aygıt güvenliği ihlali olasılığına yol açan ve aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek rastgele kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilir.
| CVE | Referanslar | önem* | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [ 2 ] | kritik | Nexus 5 | 8 Ağu 2014 |
| CVE-2014-9794 | A-28821172 QC-CR646385 | kritik | Nexus 7 (2013) | 8 Ağu 2014 |
| CVE-2015-8892 | A-28822807 QC-CR902998 | kritik | Nexus 5X, Nexus 6P | 30 Ara 2015 |
| CVE-2014-9781 | A-28410333 QC-CR556471 | Yüksek | Nexus 7 (2013) | 6 Şub 2014 |
| CVE-2014-9786 | A-28557260 QC-CR545979 | Yüksek | Nexus 5, Nexus 7 (2013) | 13 Mart 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 | Yüksek | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9779 | A-28598347 QC-CR548679 | Yüksek | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 | Yüksek | Nexus 5, Nexus 5X, Nexus 6P | 13 Mart 2014 |
| CVE-2014-9789 | A-28749392 QC-CR556425 | Yüksek | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9793 | A-28821253 QC-CR580567 | Yüksek | Nexus 7 (2013) | 13 Mart 2014 |
| CVE-2014-9782 | A-28431531 QC-CR511349 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9783 | A-28441831 QC-CR511382 [ 2 ] | Yüksek | Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9785 | A-28469042 QC-CR545747 | Yüksek | Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9787 | A-28571496 QC-CR545764 | Yüksek | Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9784 | A-28442449 QC-CR585147 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9777 | A-28598501 QC-CR563654 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9778 | A-28598515 QC-CR563694 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9790 | A-28769136 QC-CR545716 [ 2 ] | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9792 | A-28769399 QC-CR550606 | Yüksek | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9797 | A-28821090 QC-CR674071 | Yüksek | Nexus 5 | 3 Tem 2014 |
| CVE-2014-9791 | A-28803396 QC-CR659364 | Yüksek | Nexus 7 (2013) | 29 Ağu 2014 |
| CVE-2014-9796 | A-28820722 QC-CR684756 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Eylül 2014 |
| CVE-2014-9800 | A-28822150 QC-CR692478 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Ekim 2014 |
| CVE-2014-9799 | A-28821731 QC-CR691916 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Ekim 2014 |
| CVE-2014-9801 | A-28822060 QC-CR705078 | Yüksek | Nexus 5 | 28 Kasım 2014 |
| CVE-2014-9802 | A-28821965 QC-CR705108 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Aralık 2014 |
| CVE-2015-8891 | A-28842418 QC-CR813930 | Yüksek | Nexus 5, Nexus 7 (2013) | 29 Mayıs 2015 |
| CVE-2015-8888 | A-28822465 QC-CR813933 | Yüksek | Nexus 5 | 30 Haz 2015 |
| CVE-2015-8889 | A-28822677 QC-CR804067 | Yüksek | Nexus 6P | 30 Haz 2015 |
| CVE-2015-8890 | A-28822878 QC-CR823461 | Yüksek | Nexus 5, Nexus 7 (2013) | 19 Ağu 2015 |
* Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanır.
Qualcomm USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm USB sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | Yüksek | Nexus 5X, Nexus 6P | 11 Mart 2016 |
Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | Yüksek | Nexus 7 (2013) | 17 Mart 2016 |
Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 Mart 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 | Yüksek | Bağlantı Noktası 9 | 5 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek güç sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek güç sürücüsündeki bir ayrıcalık yükseltmesi, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesini sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 | Yüksek | Android Bir | 7 Nis 2016 |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 | Yüksek | Android Bir | 7 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | Yüksek | Nexus 5X | 7 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek donanım sensörü sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek donanım algılayıcı sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 | Yüksek | Android Bir | 11 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 | Yüksek | Android Bir | 11 Nis 2016 |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 | Yüksek | Android Bir | 11 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek GPS sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek GPS sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 | Yüksek | Android Bir | 11 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | Yüksek | Bağlantı Noktası 9 | 19 Nis 2016 |
| CVE-2016-3803 | A-28588434* | Yüksek | Nexus 5X, Nexus 6P | 4 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek güç yönetimi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek güç yönetimi sürücüsündeki bir ayrıcalık yükseltmesi, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesini sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 | Yüksek | Android Bir | 20 Nis 2016 |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 | Yüksek | Android Bir | 21 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek görüntü sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 | Yüksek | Android Bir | 26 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Seri çevresel arabirim sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Seri çevresel arabirim sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | Yüksek | Nexus 5X, Nexus 6P | 26 Nis 2016 |
| CVE-2016-3808 | A-28430009* | Yüksek | Piksel C | 26 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 28 Nis 2016 |
Çekirdekte ayrıcalık yükselmesi güvenlik açığı
Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 yukarı akış çekirdeği | Yüksek | Nexus 5X, Nexus 6P | Google dahili |
Ağ bileşeninde bilginin açığa çıkması güvenlik açığı
Ağ bileşenindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | Yüksek | Tüm Bağlantılar | 5 Mart 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek Wi-Fi sürücüsünde bilginin açığa çıkması güvenlik açığı
MediaTek Wi-Fi sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 | Yüksek | Android Bir | 12 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | Ilıman | Bağlantı Noktası 9 | Google dahili |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek video codec sürücüsünde bilginin açığa çıkması güvenlik açığı
MediaTek video codec sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 | Ilıman | Android Bir | 11 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm USB sürücüsünde bilginin açığa çıkması güvenlik açığı
Qualcomm USB sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | Ilıman | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 11 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA kamera sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
NVIDIA kamera sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 | Ilıman | Bağlantı Noktası 9 | 14 Nis 2016 |
| CVE-2016-3815 | A-28522274* N-CVE20163815 | Ilıman | Bağlantı Noktası 9 | 1 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek ekran sürücüsünde bilginin açığa çıkması güvenlik açığı
MediaTek görüntü sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | Ilıman | Android Bir | 26 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek teletype sürücüsünde bilginin açığa çıkması güvenlik açığı
Teletype sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 yukarı akış çekirdeği | Ilıman | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Oynatıcı, Piksel C | 26 Nis 2016 |
Qualcomm önyükleyicide hizmet reddi güvenlik açığı
Qualcomm önyükleyicisindeki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı bir aygıt güvenliğinin ihlal edilmesine neden olmasına olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | Ilıman | Nexus 5 | 31 Ekim 2014 |
| CVE-2015-8893 | A-28822690 QC-CR822275 | Ilıman | Nexus 5, Nexus 7 (2013) | 19 Ağu 2015 |
Sık sorulan sorular ve cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
2016-07-01 veya sonraki sürümlerin Güvenlik Yaması Düzeyleri, 2016-7-01 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları ele alır. 2016-07-05 veya sonraki Güvenlik Yaması Düzeyleri, 2016-07-05 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları ele alır. Güvenlik yama düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için yardım merkezine bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini [ro.build.version.security_patch]:[2016-07-01] veya [ro.build.version.security_patch]:[2016-07-05] olarak ayarlamalıdır.
2. Bu bültende neden iki güvenlik düzeltme eki düzeyi dizesi var?
Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyi dizesi vardır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik düzeltme eki düzeyi dizesini kullanmaları önerilir.
5 Temmuz 2016 veya daha yeni güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
1 Temmuz 2016 güvenlik düzeltme eki düzeyini kullanan cihazlar, söz konusu güvenlik düzeltme eki düzeyiyle ilişkili tüm sorunları ve önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir. 1 Temmuz 2016 güvenlik düzeltme eki düzeyini kullanan cihazlar, 5 Temmuz 2016 güvenlik yaması düzeyiyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
3. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
2016-07-01 ve 2016-07-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi bulunur. "All Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa, etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmiyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
4. Referanslar sütunundaki girişler neyle eşleşir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler şu şekilde eşlenir:
| Önek | Referans |
|---|---|
| A- | Android hata kimliği |
| KK- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
Revizyonlar
- 06 Temmuz 2016: Bülten yayınlandı.
- 07 Temmuz 2016:
- AOSP bağlantıları eklendi.
- CVE-2016-3814'ün bir kopyası olduğu için CVE-2016-3794 kaldırıldı
- CVE-2016-2501 ve CVE-2016-2502 için atıf eklendi
- 11 Temmuz 2016: CVE-2016-3750 için güncellenmiş ilişkilendirme
- 14 Temmuz 2016: CVE-2016-2503 için güncellenmiş ilişkilendirme
- 1 Nisan 2019: CVE-2016-3818 için güncellenmiş yama bağlantıları