06 Eylül 2016 tarihinde yayınlandı | 12 Eylül 2016'da güncellendi
Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 06 Eylül 2016 veya sonraki Güvenlik Yama Düzeyleri bu sorunları ele alır. Güvenlik düzeltme eki düzeyini nasıl kontrol edeceğinizi öğrenmek için belgelere bakın. Desteklenen Nexus cihazları, 06 Eylül 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacaktır.
Ortaklar, 05 Ağustos 2016 veya daha önce bültende açıklanan sorunlar hakkında bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.
Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltma bölümüne bakın.
Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bültende, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sağlamak için üç güvenlik düzeltme eki düzeyi dizesi vardır. Ek bilgi için Genel sorular ve yanıtlara bakın:
- 2016-09-01 : Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-09-01 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
- 2016-09-05 : Kısmi güvenlik düzeltme eki düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-09-01 ve 2016-09-05 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
- 2016-09-06 : Bu bültendeki sorunların çoğu iş ortaklarına bildirildikten sonra keşfedilen sorunları ele alan eksiksiz güvenlik düzeltme eki düzeyi dizesi. Bu güvenlik yaması düzeyi dizesi, 2016-09-01, 2016-09-05 ve 2016-09-06 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
- Desteklenen Nexus cihazları, 06 Eylül 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacaktır.
Android ve Google hizmeti azaltmaları
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- Carnegie Mellon Üniversitesi'nden Cory Pruce: CVE-2016-3897
- Gengjia Chen ( @chengjia4574 ) ve IceSword Lab, Qihoo 360 Technology Co. Ltd.'nin pjf'si: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
- Güvenlik Araştırma Laboratuvarı'ndan Hao Qin, Cheetah Mobile : CVE-2016-3863
- Google Project Zero'dan Jann Horn: CVE-2016-3885
- Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab'den pjf , Qihoo 360: CVE-2016-3858
- Joshua Drake ( @jduck ): CVE-2016-3861
- CISPA'dan Madhu Priya Murugan, Saarland Üniversitesi: CVE-2016-3896
- Google'dan Makoto Onuki: CVE-2016-3876
- Google Project Zero Markası: CVE-2016-3861
- Android Güvenliğinin Maksimum Spektrumu: CVE-2016-3888
- Android Güvenliğinin Maks Spector ve Quan To'su: CVE-2016-3889
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3895
- Tesla Motors Ürün Güvenliği Ekibinden Nathan Crandall ( @natecray ) : CVE-2016-2446 ile ilgili ek sorunların keşfi
- Google'dan Oleksiy Vyalov: CVE-2016-3890
- Google Chrome Güvenlik Ekibinden Oliver Chang: CVE-2016-3880
- Alibaba Mobile Security Group'tan Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang şarkısı: CVE-2016-3859
- TEAM Lv51: CVE-2016-3886'dan Ronald L. Loor Vargas ( @loor_rlv )
- Sagi Kedmi, IBM Security X-Force Araştırmacısı: CVE-2016-3873
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
- TrendMicro'dan Seven Shen ( @lingtongshen ): CVE-2016-3894
- SentinelOne / RedNaga'dan Tim Strazzere ( @timstrazz ): CVE-2016-3862
- trotmaster ( @trotmaster99 ): CVE-2016-3883
- Google'dan Victor Chang: CVE-2016-3887
- Google'dan Vignesh Venkatasubramanian: CVE-2016-3881
- Alibaba Inc'den Weichao Sun ( @sunblate ): CVE-2016-3878
- Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
- Trend Micro Inc.'den Wish Wu (吴潍浠) ( @wish_wu .: CVE-2016-3892)
- Alibaba Inc'den Xingyu He (何星宇) ( @Spid3r_ ) : CVE-2016-3879
- Yacong Gu, TCA Laboratuvarı, Yazılım Enstitüsü, Çin Bilimler Akademisi: CVE-2016-3884
- Michigan Ann Arbor Üniversitesi'nden Yuru Shao : CVE-2016-3898
2016-09-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-09-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
LibUtils'de uzaktan kod yürütme güvenlik açığı
LibUtils'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan uygulamalarda uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3861 | A-29250543 [ 2 ] [ 3 ] [ 4 ] | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 9 Haz 2016 |
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3862 | A-29270469 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Haz 2016 |
MediaMuxer'da uzaktan kod yürütme güvenlik açığı
MediaMuxer'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. MediaMuxer kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3863 | A-29161888 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 6 Haz 2016 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3870 | A-29421804 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haz 2016 |
CVE-2016-3871 | A-29422022 [ 2 ] [ 3 ] | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haz 2016 |
CVE-2016-3872 | A-29421675 [ 2 ] | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haz 2016 |
Aygıt önyüklemesinde ayrıcalık yükselmesi güvenlik açığı
Önyükleme sırası sırasında bir ayrıcalık yükselmesi, yerel kötü niyetli bir saldırganın devre dışı bırakılmış olsa bile güvenli modda önyükleme yapmasını sağlayabilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3875 | A-26251884 | Yüksek | Hiçbiri* | 6.0, 6.0.1 | Google dahili |
* Mevcut tüm güncellemeleri yükleyen Android 7.0'da desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
Ayarlar'da ayrıcalık yükselmesi güvenlik açığı
Ayarlar'da bir ayrıcalık yükseltmesi, yerel kötü niyetli bir saldırganın devre dışı bırakılmış olsa bile güvenli modda önyükleme yapmasını sağlayabilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3876 | A-29900345 | Yüksek | Tüm Bağlantılar | 6.0, 6.0.1, 7.0 | Google dahili |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3899 | A-29421811 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 Haz 2016 |
CVE-2016-3878 | A-29493002 | Yüksek | Tüm Nexus* | 6.0, 6.0.1 | 17 Haz 2016 |
CVE-2016-3879 | A-29770686 | Yüksek | Tüm Nexus* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Haz 2016 |
CVE-2016-3880 | A-25747670 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google dahili |
CVE-2016-3881 | A-30013856 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google dahili |
* Mevcut tüm güncellemeleri yükleyen Android 7.0'da desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
Telefonda ayrıcalık yükselmesi güvenlik açığı
Telefon bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın yetkisiz premium SMS mesajları göndermesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3883 | A-28557603 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 3 Mayıs 2016 |
Bildirim Yöneticisi Hizmetinde ayrıcalık yükselmesi güvenlik açığı
Bildirim Yöneticisi Hizmetindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan ayıran işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, normalde kullanıcı başlatma veya kullanıcı izni gerektiren işlevlere erişim gibi kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Orta olarak derecelendirilir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3884 | A-29421441 | Ilıman | Tüm Bağlantılar | 6.0, 6.0.1, 7.0 | 15 Haz 2016 |
Debuggerd'da ayrıcalık yükselmesi güvenlik açığı
Entegre Android hata ayıklayıcısındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Android hata ayıklayıcı bağlamında rastgele kod yürütmesine olanak verebilir. Ayrıcalıklı bir işlemde yerel rasgele kod yürütme olasılığı nedeniyle bu sorun Orta önem derecesi olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3885 | A-29555636 | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 21 Haz 2016 |
System UI Tuner'da ayrıcalık yükselmesi güvenlik açığı
System UI Tuner'da bir ayrıcalık yükselmesi, bir cihaz kilitliyken yerel kötü niyetli bir kullanıcının korumalı ayarları değiştirmesine olanak sağlayabilir. Bu sorun, kullanıcı izinlerinin yerel olarak atlanması olduğu için Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3886 | A-30107438 | Ilıman | Tüm Bağlantılar | 7.0 | 23 Haz 2016 |
Ayarlar'da ayrıcalık yükselmesi güvenlik açığı
Ayarlar'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın VPN ayarları için işletim sistemi korumalarını atlamasına olanak verebilir. Bu sorun, uygulamanın izin düzeylerinin dışındaki verilere erişim sağlamak için kullanılabildiğinden Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3887 | A-29899712 | Ilıman | Tüm Bağlantılar | 7.0 | Google dahili |
SMS'de ayrıcalık yükselmesi güvenlik açığı
SMS'te bir ayrıcalık yükselmesi güvenlik açığı, yerel bir saldırganın cihaz sağlanmadan önce premium SMS mesajları göndermesine olanak verebilir. Bu, cihazın kurulmadan önce kullanılmasını engellemesi gereken Fabrika Sıfırlama Korumasını atlama olasılığı nedeniyle Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3888 | A-29420123 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google dahili |
Ayarlar'da ayrıcalık yükselmesi güvenlik açığı
Ayarlar'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir saldırganın Fabrika Ayarlarına Sıfırlama Korumasını atlamasına ve cihaza erişmesine olanak sağlayabilir. Bu, cihazın başarıyla sıfırlanmasına ve tüm verilerinin silinmesine yol açabilecek Fabrika Sıfırlama Korumasını atlama olasılığı nedeniyle Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3889 | A-29194585 [ 2 ] | Ilıman | Tüm Bağlantılar | 6.0, 6.0.1, 7.0 | Google dahili |
Java Hata Ayıklama Tel Protokolünde ayrıcalık yükselmesi güvenlik açığı
Java Hata Ayıklama Tel Protokolü'ndeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, olağandışı bir cihaz yapılandırması gerektirdiğinden Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3890 | A-28347842 [ 2 ] | Ilıman | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
* Mevcut tüm güncellemeleri yükleyen Android 7.0'da desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
Mediaserver'da bilginin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3895 | A-29983260 | Ilıman | Tüm Bağlantılar | 6.0, 6.0.1, 7.0 | 4 Tem 2016 |
AOSP Mail'de bilginin açığa çıkması güvenlik açığı
AOSP Mail'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın kullanıcının özel bilgilerine erişmesine olanak sağlayabilir. Bu sorun, verilere izinsiz olarak uygunsuz bir şekilde erişmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3896 | A-29767043 | Ilıman | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Tem 2016 |
* Mevcut tüm güncellemeleri yükleyen Android 7.0'da desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
Wi-Fi'de bilginin açığa çıkması güvenlik açığı
Wi-Fi yapılandırmasındaki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3897 | A-25624963 [ 2 ] | Ilıman | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Kasım 2015 |
* Mevcut tüm güncellemeleri yükleyen Android 7.0'da desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.
Telefonda hizmet reddi güvenlik açığı
Telefon bileşenindeki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın kilitli bir ekrandan 911 TTY çağrılarını engellemesini sağlayabilir. Bu sorun, kritik bir işlevde hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
---|---|---|---|---|---|
CVE-2016-3898 | A-29832693 | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 Haz 2016 |
2016-09-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-09-05 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Çekirdek güvenlik alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek güvenlik alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2014-9529 | A-29510361 | kritik | Nexus 5, Nexus 6, Nexus 9, Nexus Oynatıcı, Android One | 6 Ocak 2015 |
CVE-2016-4470 | A-29823941 | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı | 15 Haziran 2016 |
Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ağ iletişimi alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2013-7446 | A-29119002 | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 18 Kasım 2015 |
Çekirdek netfilter alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek netfilter alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3134 | A-28940694 | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 9 Mart 2016 |
Çekirdek USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek USB sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3951 | A-28744625 | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 6 Nis 2016 |
Çekirdek ses alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ses alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2014-4655 | A-29916012 | Yüksek | Nexus 5, Nexus 6, Nexus 9, Nexus Oynatıcı | 26 Haz 2014 |
Çekirdek ASN.1 kod çözücüde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ASN.1 kod çözücüdeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-2053 | A-28751627 | Yüksek | Nexus 5X, Nexus 6P | 25 Oca 2016 |
Qualcomm radyo arabirim katmanında ayrıcalık yükselmesi güvenlik açığı
Qualcomm radyo arabirimi katmanındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3864 | A-28823714* QC-CR#913117 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 29 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm alt sistem sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm alt sistem sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3858 | A-28675151 QC-CR#1022641 | Yüksek | Nexus 5X, Nexus 6P | 9 Mayıs 2016 |
Çekirdek ağ sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ağ sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-4805 | A-28979703 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 | 15 Mayıs 2016 |
Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3865 | A-28799389* | Yüksek | Nexus 5X, Nexus 9 | 16 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3859 | A-28815326* QC-CR#1034641 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 17 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3866 | A-28868303* QC-CR#1032820 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P | 18 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm IPA sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm IPA sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3867 | A-28919863* QC-CR#1037897 | Yüksek | Nexus 5X, Nexus 6P | 21 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm güç sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm güç sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3868 | A-28967028* QC-CR#1032875 | Yüksek | Nexus 5X, Nexus 6P | 25 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3869 | A-29009982* B-RB#96070 | Yüksek | Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı, Piksel C | 27 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek eCryptfs dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek eCryptfs dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-1583 | A-29444228 yukarı akış çekirdeği | Yüksek | Piksel C | 1 Haz 2016 |
NVIDIA çekirdeğinde ayrıcalık yükselmesi güvenlik açığı
NVIDIA çekirdeğindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek önem derecesi olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3873 | A-29518457* N-CVE-2016-3873 | Yüksek | Bağlantı Noktası 9 | 20 Haz 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3874 | A-29944562 QC-CR#997797 [ 2 ] | Yüksek | Nexus 5X | 1 Tem 2016 |
Çekirdek ağ alt sisteminde hizmet reddi güvenlik açığı
Çekirdek ağ iletişimi alt sistemindeki bir hizmet reddi güvenlik açığı, bir saldırganın aygıtın askıda kalmasına veya yeniden başlatılmasına neden olabilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2015-1465 | A-29506807 | Yüksek | Nexus 5, Nexus 6, Nexus 9, Nexus Oynatıcı, Pixel C, Android One | 3 Şub 2015 |
CVE-2015-5364 | A-29507402 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 30 Haz 2015 |
Çekirdek ext4 dosya sisteminde hizmet reddi güvenlik açığı
Çekirdek ext4 dosya sistemindeki bir hizmet reddi güvenlik açığı, bir saldırganın aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel bir kalıcı hizmet reddine neden olmasına olanak verebilir. Yerel kalıcı hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2015-8839 | A-28760453* | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı, Pixel C, Android One | 4 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm SPMI sürücüsünde bilginin açığa çıkması güvenlik açığı
Qualcomm SPMI sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3892 | A-28760543* QC-CR#1024197 | Ilıman | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 13 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm ses codec bileşeninde bilginin açığa çıkması güvenlik açığı
Qualcomm ses codec bileşenindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3893 | A-29512527 KK-CR#856400 | Ilıman | Nexus 6P | 20 Haz 2016 |
Qualcomm DMA bileşeninde bilgi ifşası güvenlik açığı
Qualcomm DMA bileşenindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-3894 | A-29618014* QC-CR#1042033 | Ilıman | Bağlantı Noktası 6 | 23 Haz 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek ağ alt sisteminde bilginin açığa çıkması güvenlik açığı
Çekirdek ağ alt sistemindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-4998 | A-29637687 Yukarı akış çekirdeği [ 2 ] | Ilıman | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 24 Haz 2016 |
Çekirdek ağ alt sisteminde hizmet reddi güvenlik açığı
Çekirdek ağ iletişimi alt sistemindeki bir hizmet reddi güvenlik açığı, bir saldırganın Wi-Fi özelliklerine erişimi engellemesine olanak verebilir. Wi-Fi özelliklerinin geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Orta olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2015-2922 | A-29409847 | Ilıman | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 Nis 2015 |
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-2469 | KK-CR#997025 | Yüksek | Hiçbiri | Haziran 2016 |
CVE-2016-2469 | KK-CR#997015 | Ilıman | Hiçbiri | Haziran 2016 |
2016-09-06 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-09-06 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Çekirdek paylaşımlı bellek alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek paylaşılan bellek alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-5340 | A-30652312 QC-CR#1008948 | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 Tem 2016 |
Qualcomm ağ bileşeninde ayrıcalık yükselmesi güvenlik açığı
Qualcomm ağ bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
---|---|---|---|---|
CVE-2016-2059 | A-27045580 QC-CR#974577 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 Şub 2016 |
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
2016-09-01 veya sonraki sürümlerin Güvenlik Yaması Düzeyleri, 2016-09-01 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları ele alır. 2016-09-05 veya sonraki Güvenlik Yaması Düzeyleri, 2016-09-05 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları ele alır. 2016-09-06 veya sonraki sürümlerin Güvenlik Yaması Düzeyleri, 2016-09-06 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları ele alır. Güvenlik yama düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için yardım merkezine bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], veya [ro.build.version.security_patch]:[2016-09-06].
2. Bu bültende neden üç güvenlik düzeltme eki düzeyi dizesi var?
Bu bültende, Android iş ortaklarının tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliğine sahip olması için üç güvenlik düzeltme eki düzeyi dizesi vardır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik düzeltme eki düzeyi dizesini kullanmaları önerilir.
6 Eylül 2016 güvenlik düzeltme eki düzeyini veya daha yenisini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir. Bu yama düzeyi, iş ortaklarına bu bültendeki sorunların çoğu hakkında ilk kez bilgi verildikten sonra keşfedilen sorunları gidermek için oluşturulmuştur.
5 Eylül 2016 güvenlik yaması düzeyini kullanan cihazlar, söz konusu güvenlik yaması düzeyi, 1 Eylül 2016 güvenlik yaması düzeyi ile ilişkili tüm sorunları ve önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir. 5 Eylül 2016 güvenlik yaması düzeyini kullanan cihazlar, 6 Eylül 2016 güvenlik yaması düzeyiyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
1 Eylül 2016 güvenlik düzeltme eki düzeyini kullanan cihazlar, söz konusu güvenlik düzeltme eki düzeyiyle ilişkili tüm sorunları ve önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir. 1 Eylül 2016 güvenlik yaması düzeyini kullanan cihazlar, 5 Eylül 2016 ve 6 Eylül 2016 güvenlik yaması düzeyleriyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
3 . Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
2016-09-01 , 2016-09-05 ve 2016-09-06 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi bulunur. "All Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa, etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Android 7.0 çalıştıran hiçbir Nexus cihazı sorundan etkilenmiyorsa tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
4. Referanslar sütunundaki girişler neyle eşleşir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler şu şekilde eşlenir:
Önek | Referans |
---|---|
A- | Android hata kimliği |
KK- | Qualcomm referans numarası |
M- | MediaTek referans numarası |
N- | NVIDIA referans numarası |
B- | Broadcom referans numarası |
Revizyonlar
- 06 Eylül 2016: Bülten yayınlandı.
- 07 Eylül 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
- 12 Eylül 2016: Bülten, CVE-2016-3861 için ilişkilendirmeyi güncelleyecek ve CVE-2016-3877'yi kaldıracak şekilde revize edildi.