01 Ağustos 2016 tarihinde yayınlandı | 21 Ekim 2016'da güncellendi
Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Ağustos 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir. Güvenlik düzeltme eki düzeyini nasıl kontrol edeceğinizi öğrenmek için belgelere bakın.
Ortaklar, bültende açıklanan sorunlar hakkında 06 Temmuz 2016 veya daha önce bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.
Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltma bölümüne bakın.
Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bülten, CVE-2016-3856'yı CVE-2016-2060'a düzeltmek için revize edildi.
- Bu bülten, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını düzeltmek için daha hızlı hareket etme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyinde dizeye sahiptir. Ek bilgi için Genel sorular ve yanıtlara bakın:
- 2016-08-01 : Kısmi güvenlik düzeltme eki düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-08-01 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
- 2016-08-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-08-01 ve 2016-08-05 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
- Desteklenen Nexus cihazları, 05 Ağustos 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacak.
Android ve Google hizmeti azaltmaları
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirildi. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- Google Chrome Güvenlik Ekibinden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-3821, CVE-2016-3837
- Adam Donenfeld ve ark. Check Point Software Technologies Ltd.'den: CVE-2016-2504
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3844
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3857
- Google'dan David Benjamin ve Kenny Root: CVE-2016-3840
- Alibaba Mobil Güvenlik Ekibinden Dawei Peng ( Vinc3nt4H ): CVE-2016-3822
- KeenLab ( @keen_lab ), Tencent: CVE-2016-3842'den Di Shen ( @returnsme )
- Google'dan Dianne Hackborn: CVE-2016-2497
- Google Dinamik Araçlar ekibinden Dmitry Vyukov: CVE-2016-3841
- IceSword Lab, Qihoo 360 Technology Co. Ltd.'den Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) .: CVE-2016-3852
- Alfa Ekibinden Guang Gong (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd .: CVE-2016-3834
- Fortinet'in FortiGuard Laboratuvarlarından Kai Lu ( @K3vinLuSec ): CVE-2016-3820
- Kandala Shivaram reddy, DS ve Uppi: CVE-2016-3826
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- Tesla Motors Ürün Güvenliği Ekibinden Nathan Crandall ( @natecray ) : CVE-2016-3847, CVE-2016-3848
- Alibaba Mobile Security Group'un Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang şarkısı: CVE-2016-3845
- Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-3849
- WooYun TangLab'dan Qianwei Hu ( rayxcp@gmail.com ): CVE-2016-3846
- KeenLab'dan ( @keen_lab ) Qidan He ( @flanker_hqd ) , Tencent: CVE-2016-3832
- Google'dan Sharvil Nanavati: CVE-2016-3839
- Shinjo Park ( @ad_ili_rai ) ve Telekomünikasyon Güvenliğinden Altaf Shaik : CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- Vasili Vasiliev: CVE-2016-3819
- Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- Trend Micro Inc.'den Wish Wu (吴潍浠) ( @wish_wu .: CVE-2016-3843)
- Tencent'in Xuanwu LAB'sinden Yongke Wang ( @Rudykewang ): CVE-2016-3836
Copperhead Security'den Daniel Micay, Google'dan Jeff Vander Stoep ve Yabin Cui'ye, CVE-2016-3843 gibi bir dizi güvenlik açığını azaltmaya yönelik platform düzeyinde güncellemelere katkılarından dolayı teşekkür ederiz. Bu azaltma, Grsecurity'den Brad Spengler'in çalışmasına dayanmaktadır.
2016-08-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-08-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mayıs 2016 |
| CVE-2016-3820 | A-28673410 | kritik | Tüm Bağlantılar | 6.0, 6.0.1 | 6 Mayıs 2016 |
| CVE-2016-3821 | A-28166152 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
libjhead'de uzaktan kod yürütme güvenlik açığı
libjhead'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan uygulamalarda uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3824 | A-28816827 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3825 | A-28816964 | Yüksek | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3826 | A-29251553 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Haz 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosya kullanarak aygıtın askıda kalmasına veya yeniden başlatılmasına neden olabilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | Yüksek | Tüm Bağlantılar | 6.0.1 | 16 Mayıs 2016 |
| CVE-2016-3828 | A-28835995 | Yüksek | Tüm Bağlantılar | 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3829 | A-29023649 | Yüksek | Tüm Bağlantılar | 6.0, 6.0.1 | 27 Mayıs 2016 |
| CVE-2016-3830 | A-29153599 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Sistem saatinde hizmet reddi güvenlik açığı
Sistem saatindeki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın aygıtı çökertmesine olanak verebilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 Mayıs 2016 |
Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı
Çerçeve API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, uygulamanın izin düzeylerinin dışındaki verilere erişim sağlamak için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 Mayıs 2016 |
Shell'de ayrıcalık yükselmesi güvenlik açığı
Shell'de bir ayrıcalık yükselmesi, yerel bir kötü amaçlı uygulamanın, kullanıcı kısıtlamaları gibi cihaz kısıtlamalarını atlamasına olanak sağlayabilir. Bu sorun, kullanıcı izinlerinin yerel olarak atlanması olduğu için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [ 2 ] | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
OpenSSL'de bilginin açığa çıkması güvenlik açığı
OpenSSL'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | Hiçbiri* | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1 | 29 Mart 2016 |
* Mevcut tüm güncellemeleri yükleyen desteklenen Nexus cihazları bu güvenlik açığından etkilenmez
Kamera API'lerinde bilginin açığa çıkması güvenlik açığı
Kamera API'lerinde bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki veri yapılarına erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Nis 2016 |
Mediaserver'da bilginin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Mayıs 2016 |
SurfaceFlinger'da bilginin açığa çıkması güvenlik açığı
SurfaceFlinger hizmetindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 Mayıs 2016 |
Wi-Fi'de bilginin açığa çıkması güvenlik açığı
Wi-Fi'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Sistem kullanıcı arabiriminde hizmet reddi güvenlik açığı
Sistem kullanıcı arabirimindeki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın kilitli bir ekrandan 911 çağrısını engellemesine olanak verebilir. Bu sorun, kritik bir işlevde hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | Ilıman | Tüm Bağlantılar | 6.0, 6.0.1 | Google dahili |
Bluetooth'ta hizmet reddi güvenlik açığı
Bluetooth'taki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın bir Bluetooth cihazından 911 aramasını engellemesine olanak verebilir. Bu sorun, kritik bir işlevde hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
2016-08-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-08-05 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Qualcomm Wi-Fi sürücüsünde uzaktan kod yürütme güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı bir cihaz güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | kritik | Nexus 7 (2013) | 31 Mart 2014 |
Conscrypt'te uzaktan kod yürütme güvenlik açığı
Conscrypt'teki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-2875153 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Qualcomm bileşenlerinde ayrıcalık yükselmesi güvenlik açığı
Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
Bu sorunların en şiddetlisi, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütme olasılığı nedeniyle, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliği ihlaline yol açma olasılığı nedeniyle Kritik olarak derecelendirilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | kritik | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9864 | A-28747998 | Yüksek | Nexus 5, Nexus 7 (2013) | 27 Mart 2014 |
| CVE-2014-9865 | A-28748271 | Yüksek | Nexus 5, Nexus 7 (2013) | 27 Mart 2014 |
| CVE-2014-9866 | A-28747684 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9867 | A-28749629 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9868 | A-28749721 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9869 | A-28749728 QC-CR#514711 [ 2 ] | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9870 | A-28749743 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9871 | A-28749803 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9872 | A-28750155 | Yüksek | Nexus 5 | 31 Mart 2014 |
| CVE-2014-9873 | A-28750726 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9874 | A-28751152 | Yüksek | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9875 | A-28767589 | Yüksek | Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9876 | A-28767796 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9877 | A-28768281 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9878 | A-28769208 | Yüksek | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9879 | A-2876921 | Yüksek | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9880 | A-28769352 | Yüksek | Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9881 | A-28769368 | Yüksek | Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9882 | A-28769546 QC-CR#552329 [ 2 ] | Yüksek | Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9883 | A-28769912 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9884 | A-28769920 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9885 | A-28769959 | Yüksek | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9886 | A-28815575 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9887 | A-2884057 | Yüksek | Nexus 5, Nexus 7 (2013) | 3 Tem 2014 |
| CVE-2014-9888 | A-28803642 | Yüksek | Nexus 5, Nexus 7 (2013) | 29 Ağu 2014 |
| CVE-2014-9889 | A-28803645 | Yüksek | Nexus 5 | 31 Ekim 2014 |
| CVE-2015-8937 | A-28803962 | Yüksek | Nexus 5, Nexus 6, Nexus 7 (2013) | 31 Mart 2015 |
| CVE-2015-8938 | A-28804030 | Yüksek | Bağlantı Noktası 6 | 31 Mart 2015 |
| CVE-2015-8939 | A-28398884 | Yüksek | Nexus 7 (2013) | 30 Nis 2015 |
| CVE-2015-8940 | A-28813987 | Yüksek | Bağlantı Noktası 6 | 30 Nis 2015 |
| CVE-2015-8941 | A-28814502 | Yüksek | Nexus 6, Nexus 7 (2013) | 29 Mayıs 2015 |
| CVE-2015-8942 | A-28814652 | Yüksek | Bağlantı Noktası 6 | 30 Haz 2015 |
| CVE-2015-8943 | A-28815158 | Yüksek | Nexus 5 | 11 Eylül 2015 |
| CVE-2014-9891 | A-28749283 | Ilıman | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9890 | A-28770207 | Ilıman | Nexus 5, Nexus 7 (2013) | 2 Haz 2014 |
Çekirdek ağ bileşeninde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ağ bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | kritik | Tüm Bağlantılar | 23 Mart 2015 |
| CVE-2016-3841 | A-28746669 | kritik | Tüm Bağlantılar | 3 Ara 2015 |
Qualcomm GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365 QC-CR#1002974 | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 5 Nis 2016 |
| CVE-2016-3842 | A-28377352 QC-CR#1002974 | kritik | Nexus 5X, Nexus 6, Nexus 6P | 25 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm performans bileşeninde ayrıcalık yükselmesi güvenlik açığı
Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
Not: Bu bültende A-29119870 kapsamında, bu güvenlik açıkları sınıfını azaltmak için tasarlanmış platform düzeyinde bir güncelleme de bulunmaktadır.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229* QC-CR#1011071 | kritik | Nexus 5X, Nexus 6P | 7 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdekte ayrıcalık yükselmesi güvenlik açığı
Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | kritik | Nexus 7 (2013) | 2 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek bellek sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek bellek sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | Yüksek | Nexus Oynatıcı | 13 Şub 2015 |
| CVE-2016-3672 | A-28763575 | Yüksek | Nexus Oynatıcı | 25 Mart 2016 |
Çekirdek ses bileşeninde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ses bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | Yüksek | Tüm Bağlantılar | 19 Oca 2016 |
| CVE-2016-2546 | A-28694392 | Yüksek | Piksel C | 19 Oca 2016 |
| CVE-2014-9904 | A-28592007 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı | 4 Mayıs 2016 |
Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | Yüksek | Nexus 5, Nexus 7 (2013) | 2 Mart 2016 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517* N-CVE-2016-3844 | Yüksek | Nexus 9, Piksel C | 19 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | Yüksek | Nexus 5 | 20 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Seri Çevresel Arabirim sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Seri Çevresel Arabirim sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | Yüksek | Nexus 5X, Nexus 6P | 17 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA medya sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA medya sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433* N-CVE-2016-3847 | Yüksek | Bağlantı Noktası 9 | 19 Mayıs 2016 |
| CVE-2016-3848 | A-28919417* N-CVE-2016-3848 | Yüksek | Bağlantı Noktası 9 | 19 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
ION sürücüsünde ayrıcalık yükselmesi güvenlik açığı
ION sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | Yüksek | Piksel C | 24 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm önyükleyicide ayrıcalık yükselmesi güvenlik açığı
Qualcomm önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | Yüksek | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 28 Mart 2016 |
Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek performans alt sistemindeki ayrıcalık güvenlik açıklarının yükseltilmesi, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, saldırganların yararlanabileceği çekirdek saldırı yüzeyi nedeniyle Yüksek olarak derecelendirilmiştir.
Not: Bu, CVE-2016-3843 (A-28086229) gibi bir güvenlik açığı sınıfını azaltmak için tasarlanmış platform düzeyinde bir güncellemedir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | Yüksek | Tüm Bağlantılar | 6.0, 6.1 | Google dahili |
* Bu sorun için bir yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
LG Electronics önyükleyicisinde ayrıcalık yükselmesi güvenlik açığı
LG Electronics önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, bir saldırganın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | Yüksek | Nexus 5X | Google dahili |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm bileşenlerinde bilgi ifşa güvenlik açığı
Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
Bu sorunların en şiddetlisi, yerel bir kötü amaçlı uygulamanın, hassas veriler gibi izin düzeylerinin dışındaki verilere açık kullanıcı izni olmadan erişme olasılığı nedeniyle Yüksek olarak derecelendirilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | Yüksek | Nexus 5, Nexus 7 (2013) | 2 Haz 2014 |
| CVE-2015-8944 | A-28814213 | Yüksek | Nexus 6, Nexus 7 (2013) | 30 Nis 2015 |
| CVE-2014-9893 | A-28747914 | Ilıman | Nexus 5 | 27 Mart 2014 |
| CVE-2014-9894 | A-28749708 | Ilıman | Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9895 | A-28750150 | Ilıman | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9896 | A-28767593 | Ilıman | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9897 | A-28769856 | Ilıman | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9898 | A-28814690 | Ilıman | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9899 | A-28803909 | Ilıman | Nexus 5 | 3 Tem 2014 |
| CVE-2014-9900 | A-28803952 | Ilıman | Nexus 5, Nexus 7 (2013) | 8 Ağu 2014 |
Çekirdek zamanlayıcıda bilginin açığa çıkması güvenlik açığı
Çekirdek zamanlayıcıdaki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | Yüksek | Nexus 5X, Nexus 6P | 21 Şubat 2014 |
MediaTek Wi-Fi sürücüsünde bilginin açığa çıkması güvenlik açığı (cihaza özel)
MediaTek Wi-Fi sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147* M-ALPS02751738 | Yüksek | Android Bir | 12 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
USB sürücüsünde bilginin açığa çıkması güvenlik açığı
USB sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | Yüksek | Tüm Bağlantılar | 3 Mayıs 2016 |
Qualcomm bileşenlerinde hizmet reddi güvenlik açığı
Aşağıdaki tablo, potansiyel olarak Wi-Fi sürücüsü de dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
Bu sorunlardan en şiddetlisi, bir saldırganın aygıtın askıda kalmasına veya yeniden başlatılmasına neden olan geçici bir uzaktan hizmet reddine neden olma olasılığı nedeniyle Yüksek olarak derecelendirilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | Yüksek | Nexus 7 (2013) | 31 Mart 2014 |
Google Play hizmetlerinde ayrıcalık yükselmesi güvenlik açığı
Google Play hizmetlerindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir saldırganın Fabrika Ayarlarına Sıfırlama Korumasını atlamasına ve cihaza erişmesine olanak verebilir. Bu, cihazın başarıyla sıfırlanmasına ve tüm verilerinin silinmesine yol açabilecek Fabrika Sıfırlama Korumasını atlama olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | Ilıman | Tüm Bağlantılar | Hiçbiri | 4 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı
Çerçeve API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, önceden yüklenmiş bir uygulamanın, uygulama güncellenirken kullanıcıya bildirilmeden amaç filtresi önceliğini artırmasını sağlayabilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Çekirdek ağ bileşeninde bilginin açığa çıkması güvenlik açığı
Çekirdek ağ bileşenindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | Ilıman | Tüm Bağlantılar | 3 Mayıs 2016 |
Çekirdek ses bileşeninde bilginin açığa çıkması güvenlik açığı
Çekirdek ses bileşenindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | Ilıman | Tüm Bağlantılar | 9 Mayıs 2016 |
| CVE-2016-4578 | A-28980217 | Ilıman | Tüm Bağlantılar | 11 Mayıs 2016 |
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | Yüksek | Hiçbiri | Şubat 2016 |
| CVE-2016-3855 | QC-CR#990824 | Yüksek | Hiçbiri | Mayıs 2016 |
| CVE-2016-2060 | QC-CR#959631 | Ilıman | Hiçbiri | Nisan 2016 |
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
2016-08-01 veya sonraki sürümlerin Güvenlik Yaması Düzeyleri, 2016-08-01 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları ele alır. 2016-08-05 veya sonraki sürümlerin Güvenlik Yaması Düzeyleri, 2016-08-05 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları ele alır. Güvenlik yama düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için yardım merkezine bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini [ro.build.version.security_patch]:[2016-08-01] veya [ro.build.version.security_patch]:[2016-08-05] olarak ayarlamalıdır.
2. Bu bültende neden iki güvenlik düzeltme eki düzeyi dizesi var?
Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyi dizesi vardır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik düzeltme eki düzeyi dizesini kullanmaları önerilir.
5 Ağustos 2016 veya daha yeni güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
1 Ağustos 2016 güvenlik düzeltme eki düzeyini kullanan cihazlar, önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerinin yanı sıra söz konusu güvenlik düzeltme eki düzeyiyle ilişkili tüm sorunları içermelidir. 1 Ağustos 2016 güvenlik yaması düzeyini kullanan cihazlar, 5 Ağustos 2016 güvenlik yaması düzeyiyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
3 . Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
2016-08-01 ve 2016-08-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi bulunur. "All Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa, etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmiyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
4. Referanslar sütunundaki girişler neyle eşleşir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler şu şekilde eşlenir:
| Önek | Referans |
|---|---|
| A- | Android hata kimliği |
| KK- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
Revizyonlar
- 01 Ağustos 2016: Bülten yayınlandı.
- 02 Ağustos 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
- 16 Ağustos 2016: CVE-2016-3856, CVE-2016-2060 olarak düzeltildi ve referans URL'si güncellendi.
- 21 Ekim 2016: CVE-2016-4486'da yazım hatası düzeltildi.