01 Ağustos 2016'da yayınlandı | 21 Ekim 2016'da güncellendi
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 05 Ağustos 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için belgelere bakın.
Bültende açıklanan hususlarla ilgili olarak ortaklara 06 Temmuz 2016 veya öncesinde bilgi verilmiştir. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten aynı zamanda AOSP dışındaki yamalara bağlantılar da içermektedir.
Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.
Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltımları bölümüne bakın.
Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bülten, CVE-2016-3856'yı CVE-2016-2060 olarak düzeltecek şekilde revize edildi.
- Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını düzeltmek için daha hızlı hareket etme esnekliği sağlamak üzere iki güvenlik yaması düzeyi dizesi bulunmaktadır. Ek bilgi için Yaygın sorular ve yanıtlara bakın:
- 2016-08-01 : Kısmi güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2016-08-01 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizeleri) giderildiğini gösterir.
- 2016-08-05 : Tam güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2016-08-01 ve 2016-08-05 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- Desteklenen Nexus cihazları, 05 Ağustos 2016 güvenlik yaması düzeyine sahip tek bir OTA güncellemesi alacaktır.
Android ve Google hizmet azaltımları
Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür ederiz:
- Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-3821, CVE-2016-3837
- Adam Donenfeld ve ark. Check Point Software Technologies Ltd.'nin ofisi: CVE-2016-2504
- Chiachih Wu ( @chiachih_wu ), Mingjian Zhou ( @Mingjian_Zhou ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-3844
- Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( bilgisayarnik@gmail.com) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-3857
- Google'dan David Benjamin ve Kenny Root: CVE-2016-3840
- Alibaba Mobil Güvenlik Ekibinden Dawei Peng ( Vinc3nt4H ): CVE-2016-3822
- KeenLab'dan Di Shen ( @returnsme ) ( @keen_lab ), Tencent: CVE-2016-3842
- Google'dan Dianne Hackborn: CVE-2016-2497
- Google Dinamik Araçlar ekibinden Dmitry Vyukov: CVE-2016-3841
- Gengjia Chen ( @chengjia4574 ), IceSword Lab'den pjf ( weibo.com/jfpan ), Qihoo 360 Technology Co. Ltd .: CVE-2016-3852
- Alpha Team'den Guang Gong (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd .: CVE-2016-3834
- Fortinet'in FortiGuard Laboratuvarlarından Kai Lu ( @K3vinLuSec ): CVE-2016-3820
- Kandala Shivaram reddy, DS ve Uppi: CVE-2016-3826
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- Tesla Motors Ürün Güvenliği Ekibinden Nathan Crandall ( @natecray ): CVE-2016-3847, CVE-2016-3848
- Alibaba Mobile Security Group'tan Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang şarkısı: CVE-2016-3845
- Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-3849
- WooYun TangLab'dan Qianwei Hu ( rayxcp@gmail.com ): CVE-2016-3846
- KeenLab'dan ( @keen_lab ), Tencent: CVE-2016-3832'den Qidan He ( @flanker_hqd )
- Google'dan Sharvil Nanavati: CVE-2016-3839
- Telekomünikasyonda Güvenlik'ten Shinjo Park ( @ad_ili_rai ) ve Altaf Shaik: CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- Vasili Vasilyev: CVE-2016-3819
- Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- Trend Micro Inc.'den Wish Wu (吴潍浠) ( @wish_wu ): CVE-2016-3843
- Tencent'in Xuanwu LAB'ından Yongke Wang ( @Rudykewang ): CVE-2016-3836
Copperhead Security'den Daniel Micay, Jeff Vander Stoep ve Google'dan Yabin Cui'ye, CVE-2016-3843 gibi bir güvenlik açığı sınıfını azaltmaya yönelik platform düzeyindeki güncellemelere yaptıkları katkılardan dolayı teşekkür ederiz. Bu hafifletme, Grsecurity'den Brad Spengler'in çalışmasına dayanmaktadır.
2016-08-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-08-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili referansları, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak sağlayabilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 Mayıs 2016 |
| CVE-2016-3820 | A-28673410 | Kritik | Tüm Nexus'lar | 6.0, 6.0.1 | 6 Mayıs 2016 |
| CVE-2016-3821 | A-28166152 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Libjhead'de uzaktan kod yürütme güvenlik açığı
Libjhead'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı olmayan bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu kitaplığı kullanan uygulamalarda uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3824 | A-28816827 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3825 | A-28816964 | Yüksek | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3826 | A-29251553 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 Haziran 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosya kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | Yüksek | Tüm Nexus'lar | 6.0.1 | 16 Mayıs 2016 |
| CVE-2016-3828 | A-28835995 | Yüksek | Tüm Nexus'lar | 6.0, 6.0.1 | 17 Mayıs 2016 |
| CVE-2016-3829 | A-29023649 | Yüksek | Tüm Nexus'lar | 6.0, 6.0.1 | 27 Mayıs 2016 |
| CVE-2016-3830 | A-29153599 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Sistem saatinde hizmet reddi güvenlik açığı
Sistem saatindeki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazı çökertmesine olanak sağlayabilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 Mayıs 2016 |
Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı
Çerçeve API'lerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın izin düzeylerinin dışındaki verilere erişim sağlamak için kullanılabileceğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 Mayıs 2016 |
Shell'de ayrıcalık yükselmesi güvenlik açığı
Kabukta ayrıcalık yükselmesi, yerel kötü amaçlı bir uygulamanın kullanıcı kısıtlamaları gibi cihaz kısıtlamalarını atlamasına olanak tanıyabilir. Bu sorun, kullanıcı izinlerinin yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [ 2 ] | Ilıman | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
OpenSSL'de bilgilerin açığa çıkması güvenlik açığı
OpenSSL'deki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | Hiçbiri* | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1 | 29 Mart 2016 |
* Mevcut tüm güncellemelerin yüklendiği desteklenen Nexus cihazları bu güvenlik açığından etkilenmez
Kamera API'lerinde bilgilerin açığa çıkması güvenlik açığı
Kamera API'lerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki veri yapılarına erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 Nis 2016 |
Mediaserver'da bilgilerin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Mayıs 2016 |
SurfaceFlinger'da bilgilerin açığa çıkması güvenlik açığı
SurfaceFlinger hizmetindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | Ilıman | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 Mayıs 2016 |
Wi-Fi'de bilgilerin açığa çıkması güvenlik açığı
Wi-Fi'deki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | Ilıman | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Sistem kullanıcı arayüzünde hizmet reddi güvenlik açığı
Sistem kullanıcı arayüzündeki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın kilitli bir ekrandan 911 aramalarını engellemesine olanak tanıyabilir. Bu sorun, kritik bir işlevde hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | Ilıman | Tüm Nexus'lar | 6.0, 6.0.1 | Google dahili |
Bluetooth'ta hizmet reddi güvenlik açığı
Bluetooth'taki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın bir Bluetooth cihazından 911 çağrılarını engellemesine olanak sağlayabilir. Bu sorun, kritik bir işlevde hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
2016-08-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-08-05 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili referansları, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.
Qualcomm Wi-Fi sürücüsünde uzaktan kod yürütme güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | Kritik | Nexus7 (2013) | 31 Mart 2014 |
Conscrypt'te uzaktan kod yürütme güvenlik açığı
Conscrypt'teki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Qualcomm bileşenlerinde ayrıcalık yükselmesi güvenlik açığı
Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü de dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
Bu sorunlardan en ciddi olanı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod çalıştırarak yerel kalıcı aygıt güvenliğinin ihlal edilmesine yol açması ve aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | Kritik | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9864 | A-28747998 | Yüksek | Nexus 5, Nexus 7 (2013) | 27 Mart 2014 |
| CVE-2014-9865 | A-28748271 | Yüksek | Nexus 5, Nexus 7 (2013) | 27 Mart 2014 |
| CVE-2014-9866 | A-28747684 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9867 | A-28749629 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9868 | A-28749721 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9869 | A-28749728 QC-CR#514711 [ 2 ] | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9870 | A-28749743 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9871 | A-28749803 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9872 | A-28750155 | Yüksek | Nexus 5 | 31 Mart 2014 |
| CVE-2014-9873 | A-28750726 | Yüksek | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9874 | A-28751152 | Yüksek | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9875 | A-28767589 | Yüksek | Nexus7 (2013) | 30 Nis 2014 |
| CVE-2014-9876 | A-28767796 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9877 | A-28768281 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9878 | A-28769208 | Yüksek | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9879 | A-28769221 | Yüksek | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9880 | A-28769352 | Yüksek | Nexus7 (2013) | 30 Nis 2014 |
| CVE-2014-9881 | A-28769368 | Yüksek | Nexus7 (2013) | 30 Nis 2014 |
| CVE-2014-9882 | A-28769546 QC-CR#552329 [ 2 ] | Yüksek | Nexus7 (2013) | 30 Nis 2014 |
| CVE-2014-9883 | A-28769912 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9884 | A-28769920 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9885 | A-28769959 | Yüksek | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9886 | A-28815575 | Yüksek | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9887 | A-28804057 | Yüksek | Nexus 5, Nexus 7 (2013) | 3 Temmuz 2014 |
| CVE-2014-9888 | A-28803642 | Yüksek | Nexus 5, Nexus 7 (2013) | 29 Ağustos 2014 |
| CVE-2014-9889 | A-28803645 | Yüksek | Nexus 5 | 31 Ekim 2014 |
| CVE-2015-8937 | A-28803962 | Yüksek | Nexus 5, Nexus 6, Nexus 7 (2013) | 31 Mart 2015 |
| CVE-2015-8938 | A-28804030 | Yüksek | Nexus 6 | 31 Mart 2015 |
| CVE-2015-8939 | A-28398884 | Yüksek | Nexus7 (2013) | 30 Nis 2015 |
| CVE-2015-8940 | A-28813987 | Yüksek | Nexus 6 | 30 Nis 2015 |
| CVE-2015-8941 | A-28814502 | Yüksek | Nexus 6, Nexus 7 (2013) | 29 Mayıs 2015 |
| CVE-2015-8942 | A-28814652 | Yüksek | Nexus 6 | 30 Haziran 2015 |
| CVE-2015-8943 | A-28815158 | Yüksek | Nexus 5 | 11 Eylül 2015 |
| CVE-2014-9891 | A-28749283 | Ilıman | Nexus 5 | 13 Mart 2014 |
| CVE-2014-9890 | A-28770207 | Ilıman | Nexus 5, Nexus 7 (2013) | 2 Haziran 2014 |
Çekirdek ağ bileşeninde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ağ bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | Kritik | Tüm Nexus'lar | 23 Mart 2015 |
| CVE-2016-3841 | A-28746669 | Kritik | Tüm Nexus'lar | 3 Aralık 2015 |
Qualcomm GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365 QC-CR#1002974 | Kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 5 Nis 2016 |
| CVE-2016-3842 | A-28377352 QC-CR#1002974 | Kritik | Nexus 5X, Nexus 6, Nexus 6P | 25 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm performans bileşeninde ayrıcalık yükselmesi güvenlik açığı
Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
Not: Bu bültende, A-29119870 kapsamında, bu güvenlik açıkları sınıfını azaltmak üzere tasarlanmış platform düzeyinde bir güncelleştirme de bulunmaktadır.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229* QC-CR#1011071 | Kritik | Nexus 5X, Nexus 6P | 7 Nisan 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdekte ayrıcalık yükselmesi güvenlik açığı
Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | Kritik | Nexus7 (2013) | 2 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdek bellek sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek bellek sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | Yüksek | Nexus Oynatıcı | 13 Şubat 2015 |
| CVE-2016-3672 | A-28763575 | Yüksek | Nexus Oynatıcı | 25 Mart 2016 |
Çekirdek ses bileşeninde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ses bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | Yüksek | Tüm Nexus'lar | 19 Ocak 2016 |
| CVE-2016-2546 | A-28694392 | Yüksek | Piksel C | 19 Ocak 2016 |
| CVE-2014-9904 | A-28592007 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı | 4 Mayıs 2016 |
Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | Yüksek | Nexus 5, Nexus 7 (2013) | 2 Mart 2016 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517* N-CVE-2016-3844 | Yüksek | Nexus 9, Piksel C | 19 Nisan 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | Yüksek | Nexus 5 | 20 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Seri Çevresel Arabirim sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Seri Çevre Birimi Arabirimi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | Yüksek | Nexus 5X, Nexus 6P | 17 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
NVIDIA medya sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA medya sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433* N-CVE-2016-3847 | Yüksek | Nexus 9 | 19 Mayıs 2016 |
| CVE-2016-3848 | A-28919417* N-CVE-2016-3848 | Yüksek | Nexus 9 | 19 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
ION sürücüsünde ayrıcalık yükselmesi güvenlik açığı
ION sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | Yüksek | Piksel C | 24 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm önyükleyicisinde ayrıcalık yükselmesi güvenlik açığı
Qualcomm önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | Yüksek | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 28 Mart 2016 |
Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek performans alt sistemindeki ayrıcalık güvenlik açıklarının yükselmesi, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Saldırganların kullanabileceği çekirdek saldırı yüzeyi nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
Not: Bu, CVE-2016-3843 (A-28086229) gibi bir güvenlik açığı sınıfını azaltmak için tasarlanmış platform düzeyinde bir güncellemedir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | Yüksek | Tüm Nexus'lar | 6.0, 6.1 | Google dahili |
* Bu soruna yönelik bir yama genel kullanıma sunulmamıştır. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
LG Electronics önyükleyicisinde ayrıcalık yükselmesi güvenlik açığı
LG Electronics önyükleyicisindeki ayrıcalık yükselmesi güvenlik açığı, bir saldırganın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | Yüksek | Nexus5X | Google dahili |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm bileşenlerinde bilgilerin açığa çıkması güvenlik açığı
Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü de dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
Bu sorunlardan en ciddi olanı, yerel kötü amaçlı bir uygulamanın, hassas veriler gibi izin seviyelerinin dışındaki verilere, açık kullanıcı izni olmadan erişme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | Yüksek | Nexus 5, Nexus 7 (2013) | 2 Haziran 2014 |
| CVE-2015-8944 | A-28814213 | Yüksek | Nexus 6, Nexus 7 (2013) | 30 Nis 2015 |
| CVE-2014-9893 | A-28747914 | Ilıman | Nexus 5 | 27 Mart 2014 |
| CVE-2014-9894 | A-28749708 | Ilıman | Nexus7 (2013) | 31 Mart 2014 |
| CVE-2014-9895 | A-28750150 | Ilıman | Nexus 5, Nexus 7 (2013) | 31 Mart 2014 |
| CVE-2014-9896 | A-28767593 | Ilıman | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9897 | A-28769856 | Ilıman | Nexus 5 | 30 Nis 2014 |
| CVE-2014-9898 | A-28814690 | Ilıman | Nexus 5, Nexus 7 (2013) | 30 Nis 2014 |
| CVE-2014-9899 | A-28803909 | Ilıman | Nexus 5 | 3 Temmuz 2014 |
| CVE-2014-9900 | A-28803952 | Ilıman | Nexus 5, Nexus 7 (2013) | 8 Ağustos 2014 |
Çekirdek zamanlayıcıda bilginin açığa çıkması güvenlik açığı
Çekirdek zamanlayıcısındaki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | Yüksek | Nexus 5X, Nexus 6P | 21 Şubat 2014 |
MediaTek Wi-Fi sürücüsündeki bilgilerin açığa çıkması güvenlik açığı (cihaza özel)
MediaTek Wi-Fi sürücüsündeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147* M-ALPS02751738 | Yüksek | Android Bir | 12 Nis 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
USB sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
USB sürücüsündeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | Yüksek | Tüm Nexus'lar | 3 Mayıs 2016 |
Qualcomm bileşenlerinde hizmet reddi güvenlik açığı
Aşağıdaki tablo, potansiyel olarak Wi-Fi sürücüsü de dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
Bu sorunlardan en ciddi olanı, bir saldırganın geçici olarak uzaktan hizmet reddine neden olarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olabilmesi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | Yüksek | Nexus7 (2013) | 31 Mart 2014 |
Google Play hizmetlerinde ayrıcalık yükselmesi güvenlik açığı
Google Play hizmetlerindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir saldırganın Fabrika Sıfırlama Korumasını atlamasına ve cihaza erişmesine olanak tanıyabilir. Bu, cihazın başarılı bir şekilde sıfırlanmasına ve tüm verilerinin silinmesine yol açabilecek Fabrika Sıfırlama Korumasını atlama olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | Ilıman | Tüm Nexus'lar | Hiçbiri | 4 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı
Çerçeve API'lerindeki ayrıcalık yükselmesi güvenlik açığı, önceden yüklenmiş bir uygulamanın, uygulama güncellenirken kullanıcıya bildirimde bulunulmadan amaç filtresi önceliğini artırmasına olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
Çekirdek ağ bileşenindeki bilgilerin açığa çıkması güvenlik açığı
Çekirdek ağ bileşenindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | Ilıman | Tüm Nexus'lar | 3 Mayıs 2016 |
Çekirdek ses bileşenindeki bilgilerin açığa çıkması güvenlik açığı
Çekirdek ses bileşenindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | Ilıman | Tüm Nexus'lar | 9 Mayıs 2016 |
| CVE-2016-4578 | A-28980217 | Ilıman | Tüm Nexus'lar | 11 Mayıs 2016 |
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü de dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | Yüksek | Hiçbiri | Şubat 2016 |
| CVE-2016-3855 | QC-CR#990824 | Yüksek | Hiçbiri | Mayıs 2016 |
| CVE-2016-2060 | QC-CR#959631 | Ilıman | Hiçbiri | Nisan 2016 |
Sık Sorulan Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.
1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?
2016-08-01 veya sonraki Güvenlik Düzeltme Eki Düzeyleri, 2016-08-01 güvenlik düzeltme eki dize düzeyiyle ilişkili tüm sorunları giderir. 2016-08-05 veya sonraki Güvenlik Düzeltme Eki Düzeyleri, 2016-08-05 güvenlik düzeltme eki dize düzeyiyle ilişkili tüm sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için yardım merkezine başvurun. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-08-01] veya [ro.build.version.security_patch]:[2016-08-05].
2. Bu bültende neden iki güvenlik yaması düzeyi dizisi var?
Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını düzeltmek için daha hızlı hareket etme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi bulunmaktadır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyi dizesini kullanmaları önerilir.
5 Ağustos 2016 veya daha yeni bir güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
1 Ağustos 2016 güvenlik yaması düzeyini kullanan cihazların, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunlara yönelik düzeltmeleri de içermesi gerekir. 1 Ağustos 2016 güvenlik yaması düzeyini kullanan cihazlar aynı zamanda 5 Ağustos 2016 güvenlik yaması düzeyiyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
3 . Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
01.08.2016 ve 05.08.2016 güvenlik açığı ayrıntıları bölümlerinde, her tablonun, her sorun için güncellenen, etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu vardır. Bu sütunun birkaç seçeneği vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi görünür. "Tüm Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmediyse tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
4. Referanslar sütunundaki girişler neyle eşleşiyor?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler aşağıdaki gibi eşlenir:
| Önek | Referans |
|---|---|
| A- | Android hata kimliği |
| Kalite kontrol- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
Revizyonlar
- 01 Ağustos 2016: Bülten yayınlandı.
- 02 Ağustos 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
- 16 Ağustos 2016: CVE-2016-3856, CVE-2016-2060 olarak düzeltildi ve referans URL'si güncellendi.
- 21 Ekim 2016: CVE-2016-4486'daki yazım hatası düzeltildi.