Yayınlanma tarihi: 01 Ağustos 2016 | Güncellenme tarihi: 21 Ekim 2016
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı resimleri Google geliştirici sitesinde de yayınlanmıştır. 5 Ağustos 2016 veya sonraki güvenlik yaması düzeyleri bu sorunları giderir. Güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için dokümanları inceleyin.
İş ortakları, bültenimizde açıklanan sorunlar hakkında 6 Temmuz 2016'da veya daha önce bilgilendirildi. Uygun durumlarda, bu sorunlara yönelik kaynak kod yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır. Bu bülten, AOSP dışındaki yamalar için bağlantılar da içerir.
Bu sorunların en ciddisi, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla yöntemle etkilenen cihazda uzaktan kod çalıştırmayı etkinleştirebilecek kritik bir güvenlik açığıdır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android güvenlik platformu korumaları ve Android platformunun güvenliğini artıran SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmet azaltma işlemleri bölümüne bakın.
Tüm müşterilerimizi, cihazlarındaki bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bülten, CVE-2016-3856 yerine CVE-2016-2060 olarak düzeltildi.
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer olan güvenlik açıklarının bir alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sunmak amacıyla iki güvenlik yaması düzeyi dizesi içerir. Daha fazla bilgi için Sık sorulan sorular ve yanıtları bölümüne göz atın:
- 2016-08-01: Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik yaması düzeyi dizesi, 01.08.2016 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizelerinin) giderildiğini gösterir.
- 2016-08-05: Tam güvenlik yaması seviyesi dizesi. Bu güvenlik yaması düzeyi dizesi, 01.08.2016 ve 05.08.2016 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- Desteklenen Nexus cihazlar, 5 Ağustos 2016 güvenlik yaması düzeyini içeren tek bir OTA güncellemesi alacak.
Android ve Google hizmetlerinin azaltılması
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler sayesinde Android'deki birçok sorundan yararlanmak daha zor hale geliyor. Tüm kullanıcıların mümkün olduğunda Android'in en son sürümüne güncelleme yapmalarını öneririz.
- Android Güvenlik Ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar hakkında uyarmak için tasarlanmış Uygulamaları Doğrula ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Uygulama Doğrulama, Google Mobil Hizmetleri'nin yüklü olduğu cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır ancak Uygulamaları Doğrula, köklendirme uygulaması yüklemeye çalışan kullanıcıları uyarır. Ayrıca Uygulama Doğrulama, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen zararlı uygulamaları tespit edip yüklemesini engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulama Doğrulama, kullanıcıyı bilgilendirir ve tespit edilen uygulamayı kaldırmayı dener.
- Google Hangouts ve Messenger uygulamaları, uygun olduğunda medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-3821, CVE-2016-3837
- Check Point Software Technologies Ltd.'den Adam Donenfeld ve diğerleri: CVE-2016-2504
- Chiachih Wu (@chiachih_wu), Mingjian Zhou (@Mingjian_Zhou) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-3844
- Chiachih Wu (@chiachih_wu), Yuan-Tsung Lo (computernik@gmail.com) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-3857
- Google'dan David Benjamin ve Kenny Root: CVE-2016-3840
- Alibaba Mobil Güvenlik Ekibi'nden Dawei Peng (Vinc3nt4H): CVE-2016-3822
- Tencent'ten KeenLab'ın (@keen_lab) Di Shen (@returnsme): CVE-2016-3842
- Google'dan Dianne Hackborn: CVE-2016-2497
- Google Dinamik Araçlar Ekibi'nden Dmitry Vyukov: CVE-2016-3841
- Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) of IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-3852
- Qihoo 360 Technology Co. Ltd Alpha Ekibi'nden Guang Gong (龚广) (@oldfresher): CVE-2016-3834
- Fortinet'in FortiGuard Labs ekibinden Kai Lu (@K3vinLuSec): CVE-2016-3820
- Kandala Shivaram reddy, DS ve Uppi: CVE-2016-3826
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- Tesla Motors Ürün Güvenliği Ekibi'nden Nathan Crandall (@natecray): CVE-2016-3847, CVE-2016-3848
- Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Alibaba Mobile Security Group'dan Yang song: CVE-2016-3845
- Trend Micro'dan Peter Pi (@heisecode): CVE-2016-3849
- WooYun TangLab'den Qianwei Hu (rayxcp@gmail.com): CVE-2016-3846
- Tencent'in KeenLab (@keen_lab) ekibinden Qidan He (@flanker_hqd): CVE-2016-3832
- Google'dan Sharvil Nanavati: CVE-2016-3839
- Shinjo Park (@ad_ili_rai) ve Security in Telecommunications'dan Altaf Shaik: CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- Vasily Vasiliev: CVE-2016-3819
- Alibaba Inc.'den Weichao Sun (@sunblate): CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- TrendMicro Inc'den Wish Wu (吴潍浠) (@wish_wu): CVE-2016-3843
- Tencent'in Xuanwu LAB'den Yongke Wang (@Rudykewang): CVE-2016-3836
CVE-2016-3843 gibi bir güvenlik açığı sınıfını azaltmak için platform düzeyinde güncellemeler sundukları için Copperhead Security'ten Daniel Micay, Google'dan Jeff Vander Stoep ve Yabin Cui'ye teşekkür ederiz. Bu azaltma, Grsecurity'ten Brad Spengler'in çalışmalarına dayanır.
01.08.2016 güvenlik yaması düzeyi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 01.08.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (geçerli olduğunda) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği hata kimliğine (ör. AOSP değişiklik listesi) bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, hata kimliğinin ardından gelen sayılara ek referanslar bağlanır.
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki uzaktan kod yürütme güvenlik açığı, bir saldırganın özel olarak hazırlanmış bir dosyayı kullanarak medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasını sağlayabilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik olarak derecelendirilmiştir. Mediaserver işlemi, ses ve video akışlarına ve üçüncü taraf uygulamalarının normalde erişemeyeceği ayrıcalıklara erişebilir.
Etkilenen işlev, işletim sisteminin temel bir parçası olarak sağlanır ve uzaktan içerikle erişilmesine olanak tanıyan birden fazla uygulama vardır. Bunlardan en önemlileri MMS ve tarayıcıda medya oynatmadır.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mayıs 2016 |
| CVE-2016-3820 | A-28673410 | Kritik (Critical) | Tüm Nexus | 6.0, 6.0.1 | 6 Mayıs 2016 |
| CVE-2016-3821 | A-28166152 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
libjhead'de uzaktan kod yürütme güvenlik açığı
libjhead'deki uzaktan kod yürütme güvenlik açığı, özel olarak hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıksız bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu kitaplığı kullanan uygulamalarda uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
Mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3824 | A-28816827 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3825 | A-28816964 | Yüksek | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3826 | A-29251553 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Haziran 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki bir hizmet reddi açığı, özel olarak hazırlanmış bir dosya kullanan bir saldırganın cihazın donmasına veya yeniden başlatılmasına neden olmasını sağlayabilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | Yüksek | Tüm Nexus | 6.0.1 | 16 Mayıs 2016 |
| CVE-2016-3828 | A-28835995 | Yüksek | Tüm Nexus | 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3829 | A-29023649 | Yüksek | Tüm Nexus | 6.0, 6.0.1 | 27 Mayıs 2016 |
| CVE-2016-3830 | A-29153599 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
Sistem saatinde hizmet reddi güvenlik açığı
Sistem saatinde bulunan bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazı kilitlemesine olanak tanıyabilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 Mayıs 2016 |
Çerçeve API'lerinde ayrıcalık yükseltme güvenlik açığı
Çerçeve API'lerinde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın uygulama verilerini diğer uygulamalardan ayıran işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın izin düzeylerinin dışındaki verilere erişim elde etmek için kullanılabileceğinden "orta" olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 Mayıs 2016 |
Shell'de ayrıcalık yükseltme güvenlik açığı
Kabuk'ta ayrıcalık artırma, yerel kötü amaçlı bir uygulamanın kullanıcı kısıtlamaları gibi cihaz kısıtlamalarını atlamasına olanak tanıyabilir. Bu sorun, kullanıcı izinlerinin yerel olarak atlatılması nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [2] | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
OpenSSL'deki bilgi ifşa güvenlik açığı
OpenSSL'deki bir bilgi açıklama güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine izin verebilir. İzinsiz olarak hassas verilere erişmek için kullanılabileceğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | Yok* | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1 | 29 Mart 2016 |
* Mevcut tüm güncellemelerin yüklendiği desteklenen Nexus cihazlar bu güvenlik açığından etkilenmez
Kamera API'lerinde bilgi ifşa etme güvenlik açığı
Kamera API'lerindeki bilgi açıklaması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki veri yapılarına erişmesine izin verebilir. İzinsiz olarak hassas verilere erişmek için kullanılabileceğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Nisan 2016 |
Mediaserver'da bilgi ifşa güvenlik açığı
Mediaserver'da bulunan bir bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine izin verebilir. İzinsiz olarak hassas verilere erişmek için kullanılabileceğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Mayıs 2016 |
SurfaceFlinger'da bilgi ifşa etme güvenlik açığı
SurfaceFlinger hizmetinde bulunan bir bilgi ifşa etme güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden orta düzeyde olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 Mayıs 2016 |
Kablosuz ağda bilgi ifşa etme güvenlik açığı
Kablosuz ağdaki bilgi açıklama zafiyeti, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine izin verebilir. İzinsiz olarak hassas verilere erişmek için kullanılabileceğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
Sistem kullanıcı arayüzünde hizmet reddi güvenlik açığı
Sistem kullanıcı arayüzündeki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın kilitli ekrandan 911 aramalarını engellemesine olanak tanıyabilir. Kritik bir işlevde hizmet reddi olasılığı nedeniyle bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | Orta seviye | Tüm Nexus | 6.0, 6.0.1 | Yalnızca Google |
Bluetooth'ta hizmet reddi güvenlik açığı
Bluetooth'taki hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Bluetooth cihazdan 911 aramalarını engellemesine olanak tanıyabilir. Bu sorun, kritik bir işlevde hizmet reddi olasılığı nedeniyle Orta düzey olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
05.08.2016 güvenlik yaması düzeyi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 05.08.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (geçerli olduğunda) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek referanslar hata kimliğinin ardından gelen sayılara bağlanır.
Qualcomm kablosuz sürücüsünde uzaktan kod yürütme güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | Kritik (Critical) | Nexus 7 (2013) | 31 Mart 2014 |
Conscrypt'te uzaktan kod yürütme güvenlik açığı
Conscrypt'teki uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, uzaktan kod çalıştırma olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
Qualcomm bileşenlerinde yetki yükseltme güvenlik açığı
Aşağıdaki tabloda, önyükleme yükleyici, kamera sürücüsü, karakter sürücüsü, ağ, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıkları yer almaktadır.
Bu sorunlardan en ciddi olanı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürüterek cihazda kalıcı yerel bir güvenlik açığı oluşturma olasılığı nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | Kritik (Critical) | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9864 | A-28747998 | Yüksek | Nexus 5, Nexus 7 (2013) | 27 Mart 2014 |
| CVE-2014-9865 | A-28748271 | Yüksek | Nexus 5, Nexus 7 (2013) | 27 Mart 2014 |
| CVE-2014-9866 | A-28747684 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9867 | A-28749629 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9868 | A-28749721 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9869 | A-28749728 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9870 | A-28749743 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9871 | A-28749803 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9872 | A-28750155 | Yüksek | Nexus 5 | 31 Mart 2014 |
| CVE-2014-9873 | A-28750726 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9874 | A-28751152 | Yüksek | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9875 | A-28767589 | Yüksek | Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9876 | A-28767796 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9877 | A-28768281 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9878 | A-28769208 | Yüksek | Nexus 5 | 30 Nisan 2014 |
| CVE-2014-9879 | A-28769221 | Yüksek | Nexus 5 | 30 Nisan 2014 |
| CVE-2014-9880 | A-28769352 | Yüksek | Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9881 | A-28769368 | Yüksek | Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9882 | A-28769546 | Yüksek | Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9883 | A-28769912 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9884 | A-28769920 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9885 | A-28769959 | Yüksek | Nexus 5 | 30 Nisan 2014 |
| CVE-2014-9886 | A-28815575 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9887 | A-28804057 | Yüksek | Nexus 5, Nexus 7 (2013) | 3 Temmuz 2014 |
| CVE-2014-9888 | A-28803642 | Yüksek | Nexus 5, Nexus 7 (2013) | 29 Ağustos 2014 |
| CVE-2014-9889 | A-28803645 | Yüksek | Nexus 5 | 31 Ekim 2014 |
| CVE-2015-8937 | A-28803962 | Yüksek | Nexus 5, Nexus 6, Nexus 7 (2013) | 31 Mart 2015 |
| CVE-2015-8938 | A-28804030 | Yüksek | Nexus 6 | 31 Mart 2015 |
| CVE-2015-8939 | A-28398884 | Yüksek | Nexus 7 (2013) | 30 Nisan 2015 |
| CVE-2015-8940 | A-28813987 | Yüksek | Nexus 6 | 30 Nisan 2015 |
| CVE-2015-8941 | A-28814502 | Yüksek | Nexus 6, Nexus 7 (2013) | 29 Mayıs 2015 |
| CVE-2015-8942 | A-28814652 | Yüksek | Nexus 6 | 30 Haziran 2015 |
| CVE-2015-8943 | A-28815158 | Yüksek | Nexus 5 | 11 Eylül 2015 |
| CVE-2014-9891 | A-28749283 | Orta seviye | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9890 | A-28770207 | Orta seviye | Nexus 5, Nexus 7 (2013) | 2 Haziran 2014 |
Çekirdek ağ bileşeninde yetki yükseltme güvenlik açığı
Çekirdek ağ bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | Kritik (Critical) | Tüm Nexus | 23 Mart 2015 |
| CVE-2016-3841 | A-28746669 | Kritik (Critical) | Tüm Nexus | 3 Aralık 2015 |
Qualcomm GPU sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm GPU sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365
QC-CR#1002974 |
Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 5 Nisan 2016 |
| CVE-2016-3842 | A-28377352
QC-CR#1002974 |
Kritik (Critical) | Nexus 5X, Nexus 6, Nexus 6P | 25 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Qualcomm performans bileşeninde yetki yükseltme güvenlik açığı
Qualcomm performans bileşenindeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
Not: Bu bültendeki A-29119870 numaralı platform düzeyinde güncelleme de bu tür güvenlik açıklarını azaltmak için tasarlanmıştır.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229*
QC-CR#1011071 |
Kritik (Critical) | Nexus 5X, Nexus 6P | 7 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Çekirdekte ayrıcalık yükseltme güvenlik açığı
Çekirdekteki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | Kritik (Critical) | Nexus 7 (2013) | 2 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Çekirdek bellek sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek bellek sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | Yüksek | Nexus Player | 13 Şubat 2015 |
| CVE-2016-3672 | A-28763575 | Yüksek | Nexus Player | 25 Mart 2016 |
Çekirdek ses bileşeninde ayrıcalık yükseltme güvenlik açığı
Çekirdek ses bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | Yüksek | Tüm Nexus | 19 Ocak 2016 |
| CVE-2016-2546 | A-28694392 | Yüksek | Pixel C | 19 Ocak 2016 |
| CVE-2014-9904 | A-28592007 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 4 Mayıs 2016 |
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | Yüksek | Nexus 5, Nexus 7 (2013) | 2 Mart 2016 |
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
Mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamaların erişemediği yüksek düzeyli özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517*
N-CVE-2016-3844 |
Yüksek | Nexus 9, Pixel C | 19 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Çekirdek video sürücüsünde yetki yükseltme güvenlik açığı
Çekirdek video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | Yüksek | Nexus 5 | 20 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Seri Çevresel Arayüz sürücüsünde ayrıcalık yükseltme güvenlik açığı
Seri Çevresel Arayüz sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | Yüksek | Nexus 5X, Nexus 6P | 17 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
NVIDIA medya sürücüsünde ayrıcalık yükseltme güvenlik açığı
NVIDIA medya sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433*
N-CVE-2016-3847 |
Yüksek | Nexus 9 | 19 Mayıs 2016 |
| CVE-2016-3848 | A-28919417*
N-CVE-2016-3848 |
Yüksek | Nexus 9 | 19 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
ION sürücüsünde ayrıcalık yükseltme güvenlik açığı
ION sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | Yüksek | Pixel C | 24 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Qualcomm önyükleyicisinde ayrıcalık yükseltme güvenlik açığı
Qualcomm önyükleyicisindeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | Yüksek | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 28 Mart 2016 |
Çekirdek performansı alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek performans alt sisteminde ayrıcalık yükseltme güvenlik açıkları, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod çalıştırmasına olanak tanıyabilir. Saldırganların kötüye kullanabileceği çekirdek saldırı yüzeyi nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
Not: Bu, CVE-2016-3843 (A-28086229) gibi bir güvenlik açığı sınıfını azaltmak için tasarlanmış platform düzeyinde bir güncellemedir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | Yüksek | Tüm Nexus | 6.0, 6.1 | Yalnızca Google |
* Bu sorun için herkese açık bir düzeltme mevcut değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
LG Electronics önyükleyicisinde yetki yükseltme güvenlik açığı
LG Electronics önyükleyicisindeki ayrıcalık yükseltme güvenlik açığı, saldırganların çekirdek bağlamında istedikleri kodu yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | Yüksek | Nexus 5X | Yalnızca Google |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Qualcomm bileşenlerinde bilgi ifşa etme güvenlik açığı
Aşağıdaki tabloda, önyükleme programı, kamera sürücüsü, karakter sürücüsü, ağ, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıkları yer almaktadır.
Yerel kötü amaçlı bir uygulamanın, izin düzeylerinin dışındaki verilere (ör. hassas veriler) açık kullanıcı izni olmadan erişebilmesi ihtimali nedeniyle bu sorunlardan en ciddi olanı yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | Yüksek | Nexus 5, Nexus 7 (2013) | 2 Haziran 2014 |
| CVE-2015-8944 | A-28814213 | Yüksek | Nexus 6, Nexus 7 (2013) | 30 Nisan 2015 |
| CVE-2014-9893 | A-28747914 | Orta seviye | Nexus 5 | 27 Mart 2014 |
| CVE-2014-9894 | A-28749708 | Orta seviye | Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9895 | A-28750150 | Orta seviye | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9896 | A-28767593 | Orta seviye | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9897 | A-28769856 | Orta seviye | Nexus 5 | 30 Nisan 2014 |
| CVE-2014-9898 | A-28814690 | Orta seviye | Nexus 5, Nexus 7 (2013) | 30 Nisan 2014 |
| CVE-2014-9899 | A-28803909 | Orta seviye | Nexus 5 | 3 Temmuz 2014 |
| CVE-2014-9900 | A-28803952 | Orta seviye | Nexus 5, Nexus 7 (2013) | 8 Ağustos 2014 |
Çekirdek planlayıcısında bilgi ifşa etme güvenlik açığı
Çekirdek planlayıcısında bilgi açıklaması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | Yüksek | Nexus 5X, Nexus 6P | 21 Şubat 2014 |
MediaTek kablosuz sürücüsünde bilgi ifşa etme güvenlik açığı (cihaza özgü)
MediaTek kablosuz sürücüsündeki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147*
M-ALPS02751738 |
Yüksek | Android One | 12 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
USB sürücüsünde bilgi açıklaması güvenlik açığı
USB sürücüsündeki bilgi açıklaması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | Yüksek | Tüm Nexus | 3 Mayıs 2016 |
Qualcomm bileşenlerinde hizmet reddi güvenlik açığı
Aşağıdaki tabloda, kablosuz sürücü de dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıkları yer almaktadır.
Saldırganın geçici bir uzak hizmet reddetme işlemine neden olarak cihazın donmasına veya yeniden başlatılmasına yol açabilmesi nedeniyle bu sorunların en ciddisi yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | Yüksek | Nexus 7 (2013) | 31 Mart 2014 |
Google Play Hizmetleri'nde ayrıcalık yükseltme güvenlik açığı
Google Play Hizmetleri'ndeki ayrıcalık yükseltme güvenlik açığı, yerel bir saldırganın Fabrika Ayarlarına Sıfırlama Koruması'nı atlatmasına ve cihaza erişmesine olanak tanıyabilir. Bu durum, Fabrika Ayarlarına Sıfırlama Koruması'nın atlatılabilmesi nedeniyle Orta olarak derecelendirilir. Bu durum, cihazın başarıyla sıfırlanmasına ve tüm verilerinin silinmesine yol açabilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | Orta seviye | Tüm Nexus | Yok | 4 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlara yönelik en son ikili sürücülerde yer alır.
Çerçeve API'lerinde ayrıcalık yükseltme güvenlik açığı
Çerçeve API'lerinde ayrıcalık yükseltme güvenlik açığı, önceden yüklenmiş bir uygulamanın kullanıcıya bildirim gönderilmeden güncellenirken intent filtresi önceliğini artırmasına olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan gelişmiş özellikler elde etmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
Çekirdek ağ bileşeninde bilgi ifşa etme güvenlik açığı
Çekirdek ağ bileşenindeki bilgi açıklaması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | Orta seviye | Tüm Nexus | 3 Mayıs 2016 |
Çekirdek ses bileşeninde bilgi ifşa etme güvenlik açığı
Çekirdek ses bileşenindeki bilgi açığa çıkarma güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | Orta seviye | Tüm Nexus | 9 Mayıs 2016 |
| CVE-2016-4578 | A-28980217 | Orta seviye | Tüm Nexus | 11 Mayıs 2016 |
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tabloda, önyükleme yükleyici, kamera sürücüsü, karakter sürücüsü, ağ, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıkları yer almaktadır.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | Yüksek | Yok | Şubat 2016 |
| CVE-2016-3855 | QC-CR#990824 | Yüksek | Yok | Mayıs 2016 |
| CVE-2016-2060 | QC-CR#959631 | Orta seviye | Yok | Nisan 2016 |
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek yaygın sorular yanıtlanmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
01.08.2016 veya sonraki güvenlik yaması düzeyleri, 01.08.2016 güvenlik yaması dizesi düzeyiyle ilişkili tüm sorunları giderir. 05.08.2016 veya sonraki güvenlik yaması düzeyleri, 05.08.2016 güvenlik yaması dize düzeyiyle ilgili tüm sorunları giderir. Güvenlik yaması seviyesini nasıl kontrol edeceğinizle ilgili talimatlar için Yardım Merkezi'ne bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-08-01] veya [ro.build.version.security_patch]:[2016-08-05].
2. Bu bültende neden iki güvenlik yaması düzeyi dizesi var?
Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer olan güvenlik açıklarının bir alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi içerir. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmesi ve en son güvenlik yaması düzeyi dizesini kullanması önerilir.
5 Ağustos 2016 veya daha yeni bir güvenlik yaması düzeyine sahip cihazlar, bu (ve önceki) güvenlik bültenlerindeki tüm geçerli yamaları içermelidir.
1 Ağustos 2016 güvenlik yaması düzeyini kullanan cihazlar, bu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir. 1 Ağustos 2016 güvenlik yaması düzeyini kullanan cihazlar, 5 Ağustos 2016 güvenlik yaması düzeyiyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
3. Her sorundan hangi Nexus cihazların etkilendiğini nasıl öğrenebilirim?
2016-08-01 ve 2016-08-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda her sorun için güncellenen etkilenen Nexus cihazların kapsamını içeren Güncellenen Nexus cihazlar sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazlar: Bir sorun tüm Nexus cihazları etkiliyorsa tablonun Güncellenen Nexus cihazlar sütununda "Tüm Nexus" ifadesi yer alır. "Tüm Nexus", aşağıdaki desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazlar: Bir sorun tüm Nexus cihazları etkilemiyorsa etkilenen Nexus cihazlar Güncellenen Nexus cihazlar sütununda listelenir.
- Nexus cihaz yok: Sorundan etkilenen Nexus cihaz yoksa tablonun Güncellenen Nexus cihazlar sütununda "Yok" ifadesi yer alır.
4. Referanslar sütunundaki girişler neyle eşlenir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir ön ek içerebilir. Bu önekler aşağıdaki şekilde eşlenir:
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| QC- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
Düzeltmeler
- 1 Ağustos 2016: Bülten yayınlandı.
- 2 Ağustos 2016: Bülten, AOSP bağlantılarını içerecek şekilde düzeltildi.
- 16 Ağustos 2016: CVE-2016-3856, CVE-2016-2060 olarak düzeltildi ve referans URL güncellendi.
- 21 Ekim 2016: CVE-2016-4486'daki yazım hatası düzeltildi.