Yayınlanma tarihi: 6 Eylül 2016 | Güncelleme tarihi: 12 Eylül 2016
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri Google geliştirici sitesinde de yayınlanmıştır. 6 Eylül 2016 veya sonraki güvenlik yaması düzeyleri bu sorunları giderir. Güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için dokümanları inceleyin. Desteklenen Nexus cihazlar, 6 Eylül 2016 güvenlik yaması düzeyini içeren tek bir OTA güncellemesi alacak.
İş ortakları, bültende açıklanan sorunlar hakkında 5 Ağustos 2016'da veya daha önce bilgilendirildi. Uygun durumlarda, bu sorunlara yönelik kaynak kod yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır. Bu bülten, AOSP dışındaki yamalar için bağlantılar da içerir.
Bu sorunların en ciddisi, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla yöntemle etkilenen cihazda uzaktan kod çalıştırmayı etkinleştirebilecek kritik bir güvenlik açığıdır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android platformunun güvenliğini artıran Android güvenlik platformu korumaları ve SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmetlerinin azaltılması bölümüne bakın.
Tüm müşterilerimizi, cihazlarındaki bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer olan güvenlik açıklarının bir alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sunmak amacıyla üç güvenlik yaması düzeyi dizesi içerir. Daha fazla bilgi için Sık sorulan sorular ve yanıtları bölümüne göz atın:
- 2016-09-01: Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik yaması düzeyi dizesi, 01.09.2016 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizelerinin) giderildiğini gösterir.
- 2016-09-05: Kısmi güvenlik yaması seviyesi dizesi. Bu güvenlik yaması düzeyi dizesi, 01.09.2016 ve 05.09.2016 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- 2016-09-06: İş ortaklarına bu bültendeki sorunların çoğu bildirildikten sonra keşfedilen sorunları ele alan tam güvenlik yaması seviyesi dizesi. Bu güvenlik yaması düzeyi dizesi, 01.09.2016, 05.09.2016 ve 06.09.2016 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- Desteklenen Nexus cihazlar, 06 Eylül 2016 güvenlik yaması düzeyini içeren tek bir OTA güncellemesi alacak.
Android ve Google hizmetlerinin azaltılması
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler sayesinde Android'deki birçok sorundan yararlanmak daha zor hale geliyor. Tüm kullanıcıların mümkün olduğunda Android'in en son sürümüne güncelleme yapmalarını öneririz.
- Android Güvenlik Ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar hakkında uyarmak için tasarlanmış Uygulamaları Doğrula ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Uygulama Doğrulama, Google Mobil Hizmetleri'nin yüklü olduğu cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır ancak Uygulamaları Doğrula, köklendirme uygulaması yüklemeye çalışan kullanıcıları uyarır. Ayrıca Uygulama Doğrulama, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen zararlı uygulamaları tespit edip yüklemesini engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulama Doğrulama, kullanıcıyı bilgilendirir ve tespit edilen uygulamayı kaldırmayı dener.
- Google Hangouts ve Messenger uygulamaları, uygun olduğunda medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Carnegie Mellon Üniversitesi'nden Cory Pruce: CVE-2016-3897
- Gengjia Chen (@chengjia4574) ve Qihoo 360 Technology Co. Ltd.'nin IceSword Lab'den pjf: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
- Cheetah Mobile'dan Security Research Lab'in Hao Qin: CVE-2016-3863
- Google Project Zero'dan Jann Horn: CVE-2016-3885
- Jianqiang Zhao (@jianqiangzhao) ve Qihoo 360'taki IceSword Lab'den pjf: CVE-2016-3858
- Joshua Drake (@jduck): CVE-2016-3861
- Saarland Üniversitesi CISPA'dan Madhu Priya Murugan: CVE-2016-3896
- Google'dan Makoto Onuki: CVE-2016-3876
- Google Project Zero Markası: CVE-2016-3861
- Android Security'den Max Spector: CVE-2016-3888
- Android Security'den Max Spector ve Quan To: CVE-2016-3889
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-3895
- Tesla Motors Ürün Güvenliği Ekibi'nden Nathan Crandall (@natecray): CVE-2016-2446 ile ilgili ek sorunların tespiti
- Google'dan Oleksiy Vyalov: CVE-2016-3890
- Google Chrome Güvenlik Ekibi'nden Oliver Chang: CVE-2016-3880
- Alibaba Mobile Security Group'dan Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang song: CVE-2016-3859
- Ronald L. Loor Vargas (@loor_rlv) of TEAM Lv51: CVE-2016-3886
- Sagi Kedmi, IBM Security X-Force Araştırmacısı: CVE-2016-3873
- Scott Bauer (@ScottyBauer1): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
- TrendMicro'dan Seven Shen (@lingtongshen): CVE-2016-3894
- SentinelOne / RedNaga'dan Tim Strazzere (@timstrazz): CVE-2016-3862
- trotmaster (@trotmaster99): CVE-2016-3883
- Google'dan Victor Chang: CVE-2016-3887
- Google'dan Vignesh Venkatasubramanian: CVE-2016-3881
- Alibaba Inc.'den Weichao Sun (@sunblate): CVE-2016-3878
- Wenke Dou, Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
- TrendMicro Inc'den Wish Wu (吴潍浠) (@wish_wu): CVE-2016-3892
- Alibaba Inc'den Xingyu He (何星宇) (@Spid3r_): CVE-2016-3879
- Çin Bilimler Akademisi Yazılım Enstitüsü TCA Lab'den Yacong Gu: CVE-2016-3884
- Michigan Üniversitesi Ann Arbor'dan Yuru Shao: CVE-2016-3898
01.09.2016 güvenlik yaması düzeyi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 01.09.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (varsa) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, hata kimliğinin ardından gelen sayılara ek referanslar bağlanır.
LibUtils'teki uzaktan kod yürütme güvenlik açığı
LibUtils'teki uzaktan kod yürütme güvenlik açığı, özel olarak hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı bir işlem bağlamında istediği kodu çalıştırmasına olanak tanıyabilir. Bu kitaplığı kullanan uygulamalarda uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3861 | A-29250543 [2] [3] [4] | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 9 Haziran 2016 |
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki uzaktan kod yürütme güvenlik açığı, bir saldırganın özel olarak hazırlanmış bir dosyayı kullanarak medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasını sağlayabilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod çalıştırma olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3862 | A-29270469 | Kritik (Critical) | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Haziran 2016 |
MediaMuxer'da uzaktan kod yürütme güvenlik açığı
MediaMuxer'daki uzaktan kod yürütme güvenlik açığı, bir saldırganın özel olarak hazırlanmış bir dosyayı kullanarak ayrıcalıksız bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, MediaMuxer kullanan bir uygulamada uzaktan kod çalıştırma olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3863 | A-29161888 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 6 Haziran 2016 |
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
Mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3870 | A-29421804 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haziran 2016 |
| CVE-2016-3871 | A-29422022 [2] [3] | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haziran 2016 |
| CVE-2016-3872 | A-29421675 [2] | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haziran 2016 |
Cihazın başlatılması sırasında ayrıcalık yükseltme güvenlik açığı
Önyükleme sırası sırasında ayrıcalık yükseltilmesi, yerel kötü amaçlı bir saldırganın devre dışı olsa bile güvenli modda önyükleme yapmasını sağlayabilir. Bu sorun, geliştirici veya güvenlik ayarları değişiklikleri için kullanıcı etkileşimi koşullarının yerel olarak atlatılması nedeniyle yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3875 | A-26251884 | Yüksek | Yok* | 6.0, 6.0.1 | Yalnızca Google |
* Android 7.0 yüklü ve mevcut tüm güncellemeleri yüklemiş desteklenen Nexus cihazlar bu güvenlik açığından etkilenmez.
Ayarlar'da ayrıcalık yükseltme güvenlik açığı
Ayarlar'da ayrıcalık yükseltilmesi, yerel bir kötü amaçlı saldırganın devre dışı bırakılmış olsa bile güvenli modda önyükleme yapmasını sağlayabilir. Bu sorun, geliştirici veya güvenlik ayarları değişiklikleri için kullanıcı etkileşimi koşullarının yerel olarak atlatılması nedeniyle yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3876 | A-29900345 | Yüksek | Tüm Nexus | 6.0, 6.0.1, 7.0 | Yalnızca Google |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki hizmet reddi güvenlik açığı, saldırganların cihazın donmasına veya yeniden başlatılmasına neden olmak için özel olarak hazırlanmış bir dosya kullanmasına olanak tanıyabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3899 | A-29421811 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 Haziran 2016 |
| CVE-2016-3878 | A-29493002 | Yüksek | Tüm Nexus* | 6.0, 6.0.1 | 17 Haziran 2016 |
| CVE-2016-3879 | A-29770686 | Yüksek | Tüm Nexus* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Haziran 2016 |
| CVE-2016-3880 | A-25747670 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Yalnızca Google |
| CVE-2016-3881 | A-30013856 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Yalnızca Google |
* Android 7.0 yüklü ve mevcut tüm güncellemeleri yüklemiş desteklenen Nexus cihazlar bu güvenlik açığından etkilenmez.
Telefon uygulamasında ayrıcalık yükseltme güvenlik açığı
Telefon bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın yetkisiz premium SMS mesajları göndermesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan gelişmiş özellikler elde etmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3883 | A-28557603 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 3 Mayıs 2016 |
Notification Manager Hizmeti'nde ayrıcalık yükseltme güvenlik açığı
Bildirim Yöneticisi Hizmeti'nde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın uygulama verilerini diğer uygulamalardan ayıran işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, normalde kullanıcının başlatması veya kullanıcı izni gerektiren işlevlere erişim gibi kullanıcı etkileşimi koşullarının yerel olarak atlatılması olduğu için Orta düzey olarak derecelendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3884 | A-29421441 | Orta seviye | Tüm Nexus | 6.0, 6.0.1, 7.0 | 15 Haziran 2016 |
Debuggerd'de ayrıcalık yükseltme güvenlik açığı
Entegre Android hata ayıklayıcısında ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın Android hata ayıklayıcı bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, ayrıcalıklı bir işlemde yerel rastgele kod çalıştırma olasılığı nedeniyle Orta önem derecesine sahiptir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3885 | A-29555636 | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 21 Haziran 2016 |
Sistem Kullanıcı Arayüzü Ayarlayıcı'da ayrıcalık yükseltme güvenlik açığı
Sistem Kullanıcı Arayüzü Ayarlayıcı'da ayrıcalık yükseltilmesi, yerel kötü amaçlı bir kullanıcının cihaz kilitliyken korumalı ayarları değiştirmesine olanak tanıyabilir. Bu sorun, kullanıcı izinlerinin yerel olarak atlatıldığı için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3886 | A-30107438 | Orta seviye | Tüm Nexus | 7,0 | 23 Haziran 2016 |
Ayarlar'da ayrıcalık yükseltme güvenlik açığı
Ayarlar'da ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın VPN ayarları için işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın izin düzeylerinin dışındaki verilere erişim elde etmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3887 | A-29899712 | Orta seviye | Tüm Nexus | 7,0 | Yalnızca Google |
SMS'de ayrıcalık yükseltme güvenlik açığı
SMS'de ayrıcalık yükseltme güvenlik açığı, yerel bir saldırganın cihaz temel hazırlığı yapılmadan önce premium SMS mesajları göndermesine olanak tanıyabilir. Bu risk, cihazın ayarlanmadan önce kullanılmasını engellemesi gereken Fabrika Ayarlarına Sıfırlama Koruması'nın atlatılabilmesi nedeniyle Orta olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3888 | A-29420123 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Yalnızca Google |
Ayarlar'da ayrıcalık yükseltme güvenlik açığı
Ayarlar'da ayrıcalık yükseltme güvenlik açığı, yerel bir saldırganın Fabrika Ayarlarına Sıfırlama Koruması'nı atlatıp cihaza erişmesine olanak tanıyabilir. Bu uygulama, fabrika ayarlarına sıfırlama korumasının atlanama olasılığı nedeniyle orta düzeyde olarak değerlendirilir. Bu olasılık, cihazın başarıyla sıfırlanmasına ve tüm verilerinin silinmesine yol açabilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3889 | A-29194585 [2] | Orta seviye | Tüm Nexus | 6.0, 6.0.1, 7.0 | Yalnızca Google |
Java Hata Ayıklama Kablosu Protokolü'nde ayrıcalık yükseltme güvenlik açığı
Java Hata Ayıklama Kablosu Protokolü'nde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın, ayrıcalıklı bir sistem uygulaması bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, yaygın olmayan bir cihaz yapılandırması gerektirdiği için Orta önem düzeyinde olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3890 | A-28347842 [2] | Orta seviye | Yok* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Yalnızca Google |
* Android 7.0 yüklü ve mevcut tüm güncellemeleri yüklemiş desteklenen Nexus cihazlar bu güvenlik açığından etkilenmez.
Mediaserver'da bilgi ifşa güvenlik açığı
Mediaserver'da bulunan bir bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. İzinsiz olarak hassas verilere erişmek için kullanılabileceğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3895 | A-29983260 | Orta seviye | Tüm Nexus | 6.0, 6.0.1, 7.0 | 4 Temmuz 2016 |
AOSP Mail'de bilgi ifşa etme güvenlik açığı
AOSP Mail'deki bir bilgi ifşa güvenlik açığı, yerel kötü amaçlı bir uygulamanın kullanıcının özel bilgilerine erişmesine olanak tanıyabilir. Bu sorun, izinsiz olarak verilere uygunsuz şekilde erişmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3896 | A-29767043 | Orta seviye | Yok* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Temmuz 2016 |
* Android 7.0 yüklü ve mevcut tüm güncellemeleri yüklemiş desteklenen Nexus cihazlar bu güvenlik açığından etkilenmez.
Kablosuz ağda bilgi ifşa etme güvenlik açığı
Kablosuz yapılandırmadaki bilgi açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, izinsiz olarak verilere erişmek için kullanılabileceğinden Orta düzey olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3897 | A-25624963 [2] | Orta seviye | Yok* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 Kasım 2015 |
* Android 7.0 yüklü ve mevcut tüm güncellemeleri yüklemiş desteklenen Nexus cihazlar bu güvenlik açığından etkilenmez.
Telefon hizmetinde hizmet reddi güvenlik açığı
Telefon bileşenindeki hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın kilitli ekrandan 911 TTY aramalarını engellemesine olanak tanıyabilir. Kritik bir işlevde hizmet reddi olasılığı nedeniyle bu sorun Orta önem düzeyinde olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3898 | A-29832693 | Orta seviye | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 Haziran 2016 |
05.09.2016 güvenlik yaması düzeyi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 05.09.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (varsa) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, hata kimliğinin ardından gelen sayılara ek referanslar bağlanır.
Çekirdek güvenlik alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek güvenlik alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9529 | A-29510361 | Kritik (Critical) | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Android One | 6 Ocak 2015 |
| CVE-2016-4470 | A-29823941 | Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 15 Haziran 2016 |
Çekirdek ağ iletişimi alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek ağ alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2013-7446 | A-29119002 | Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 18 Kasım 2015 |
Çekirdek netfilter alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek netfilter alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod çalıştırmasına olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3134 | A-28940694 | Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 9 Mart 2016 |
Çekirdek USB sürücüsünde ayrıcalık yükseltme güvenlik açığı
Çekirdek USB sürücüsünde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3951 | A-28744625 | Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 6 Nisan 2016 |
Çekirdek ses alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek ses alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-4655 | A-29916012 | Yüksek | Nexus 5, Nexus 6, Nexus 9, Nexus Player | 26 Haziran 2014 |
Çekirdek ASN.1 kod çözücüsünde ayrıcalık yükseltme güvenlik açığı
Çekirdek ASN.1 kod çözücüsünde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2053 | A-28751627 | Yüksek | Nexus 5X, Nexus 6P | 25 Ocak 2016 |
Qualcomm radyo arayüzü katmanında ayrıcalık yükseltme güvenlik açığı
Qualcomm radyo arayüzü katmanında ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3864 | A-28823714* QC-CR#913117 |
Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 29 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm alt sistem sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm alt sistem sürücüsünde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3858 | A-28675151 QC-CR#1022641 |
Yüksek | Nexus 5X, Nexus 6P | 9 Mayıs 2016 |
Çekirdek ağ sürücüsünde yetki yükseltme güvenlik açığı
Çekirdek ağ sürücüsünde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-4805 | A-28979703 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 | 15 Mayıs 2016 |
Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükseltme güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3865 | A-28799389* | Yüksek | Nexus 5X, Nexus 9 | 16 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm kamera sürücüsünde yetki yükseltme güvenlik açığı
Qualcomm kamera sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3859 | A-28815326* QC-CR#1034641 |
Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 17 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm ses sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm ses sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3866 | A-28868303* QC-CR#1032820 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P | 18 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm IPA sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm IPA sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3867 | A-28919863* QC-CR#1037897 |
Yüksek | Nexus 5X, Nexus 6P | 21 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm güç sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm güç sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3868 | A-28967028* QC-CR#1032875 |
Yüksek | Nexus 5X, Nexus 6P | 25 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Broadcom kablosuz sürücüsünde ayrıcalık yükseltme güvenlik açığı
Broadcom kablosuz sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3869 | A-29009982* B-RB#96070 |
Yüksek | Nexus 5, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C | 27 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek eCryptfs dosya sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek eCryptfs dosya sisteminde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdeğin bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-1583 | A-29444228 Yukarı yönlü çekirdek |
Yüksek | Pixel C | 1 Haziran 2016 |
NVIDIA çekirdeğinde ayrıcalık yükseltme güvenlik açığı
NVIDIA çekirdeğinde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için yüksek önem düzeyinde olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3873 | A-29518457* N-CVE-2016-3873 |
Yüksek | Nexus 9 | 20 Haziran 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm kablosuz sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3874 | A-29944562 QC-CR#997797 [2] |
Yüksek | Nexus 5X | 1 Temmuz 2016 |
Çekirdek ağ alt sisteminde hizmet reddi güvenlik açığı
Çekirdek ağ alt sisteminde bulunan bir hizmet reddi güvenlik açığı, saldırganın cihazın donmasına veya yeniden başlatılmasına neden olmasına olanak tanıyabilir. Bu sorun, geçici süreli uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-1465 | A-29506807 | Yüksek | Nexus 5, Nexus 6, Nexus 9, Nexus Player, Pixel C, Android One | 3 Şubat 2015 |
| CVE-2015-5364 | A-29507402 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 30 Haziran 2015 |
ext4 çekirdek dosya sisteminde hizmet reddi güvenlik açığı
Çekirdek ext4 dosya sistemindeki hizmet reddi güvenlik açığı, saldırganların yerel olarak kalıcı bir hizmet reddi oluşturmasına neden olabilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir. Bu sorun, yerel kalıcı hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-8839 | A-28760453* | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 Nisan 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirebileceğiniz Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm SPMI sürücüsünde bilgi ifşa etme güvenlik açığı
Qualcomm SPMI sürücüsündeki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3892 | A-28760543* QC-CR#1024197 |
Orta seviye | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 13 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm ses codec'inde bilgi ifşa etme güvenlik açığı
Qualcomm ses codec'inde bulunan bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3893 | A-29512527 QC-CR#856400 |
Orta seviye | Nexus 6P | 20 Haziran 2016 |
Qualcomm DMA bileşeninde bilgi ifşa etme güvenlik açığı
Qualcomm DMA bileşenindeki bir bilgi açıklaması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3894 | A-29618014* QC-CR#1042033 |
Orta seviye | Nexus 6 | 23 Haziran 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek ağ alt sisteminde bilgi ifşa etme güvenlik açığı
Çekirdek ağ alt sisteminde bulunan bir bilgi açıklaması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-4998 | A-29637687 Yukarı yönlü çekirdek [2] |
Orta seviye | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 24 Haziran 2016 |
Çekirdek ağ alt sisteminde hizmet reddi güvenlik açığı
Çekirdek ağ alt sisteminde bulunan bir hizmet reddi güvenlik açığı, saldırganın kablosuz bağlantı özelliklerine erişimi engellemesine olanak tanıyabilir.Bu sorun, kablosuz bağlantı özelliklerinin geçici olarak uzaktan hizmet reddi olasılığı nedeniyle Orta düzey olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-2922 | A-29409847 | Orta seviye | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 4 Nisan 2015 |
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tabloda, önyükleme yükleyici, kamera sürücüsü, karakter sürücüsü, ağ, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıkları yer almaktadır.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2469 | QC-CR#997025 | Yüksek | Yok | Haziran 2016 |
| CVE-2016-2469 | QC-CR#997015 | Orta seviye | Yok | Haziran 2016 |
06.09.2016 güvenlik yaması düzeyi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 06.09.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (varsa) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, hata kimliğinin ardından gelen sayılara ek referanslar bağlanır.
Çekirdek paylaşılan bellek alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek paylaşılan bellek alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdeğin bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 |
Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 Temmuz 2016 |
Qualcomm ağ bileşeninde yetki yükseltme güvenlik açığı
Qualcomm ağ bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 |
Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 Şubat 2016 |
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek yaygın sorular yanıtlanmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
01.09.2016 veya sonraki güvenlik yaması düzeyleri, 01.09.2016 güvenlik yaması dizesi düzeyiyle ilişkili tüm sorunları giderir. 05.09.2016 veya sonraki güvenlik yaması düzeyleri, 05.09.2016 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları giderir. 06.09.2016 veya sonraki güvenlik yaması düzeyleri, 06.09.2016 güvenlik yaması dizesi düzeyiyle ilişkili tüm sorunları giderir. Güvenlik yaması seviyesini nasıl kontrol edeceğinizle ilgili talimatlar için Yardım Merkezi'ne bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05] veya [ro.build.version.security_patch]:[2016-09-06].
2. Bu bültende neden üç güvenlik yaması düzeyi dizesi var?
Bu bülten, Android iş ortaklarının tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliğine sahip olması için üç güvenlik yaması düzeyi dizesi içerir. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmesi ve en son güvenlik yaması düzeyi dizesini kullanması önerilir.
6 Eylül 2016 veya daha yeni bir güvenlik yaması düzeyini kullanan cihazlarda bu (ve önceki) güvenlik bültenlerindeki tüm geçerli yamalar bulunmalıdır. Bu düzeltme seviyesi, iş ortakları bu bültendeki çoğu sorundan ilk kez haberdar edildikten sonra keşfedilen sorunları gidermek için oluşturulmuştur.
5 Eylül 2016 güvenlik yaması düzeyini kullanan cihazlar, bu güvenlik yaması düzeyiyle ilişkili tüm sorunları, 1 Eylül 2016 güvenlik yaması düzeyini ve önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir. 5 Eylül 2016 güvenlik yaması düzeyini kullanan cihazlar, 6 Eylül 2016 güvenlik yaması düzeyiyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
1 Eylül 2016 güvenlik yaması düzeyini kullanan cihazlar, bu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir. 1 Eylül 2016 güvenlik yaması düzeyini kullanan cihazlar, 5 Eylül 2016 ve 6 Eylül 2016 güvenlik yaması düzeyleriyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.
3. Her sorundan hangi Nexus cihazların etkilendiğini nasıl öğrenebilirim?
2016-09-01, 2016-09-05 ve 2016-09-06 güvenlik açığı ayrıntıları bölümlerinde, her tabloda her sorun için güncellenen etkilenen Nexus cihazlarının kapsamını gösteren bir Güncellenen Nexus cihazlar sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazlar: Bir sorun tüm Nexus cihazları etkiliyorsa tablonun Güncellenen Nexus cihazlar sütununda "Tüm Nexus" ifadesi yer alır. "Tüm Nexus", aşağıdaki desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazlar: Bir sorun tüm Nexus cihazları etkilemiyorsa etkilenen Nexus cihazlar Güncellenen Nexus cihazlar sütununda listelenir.
- Nexus cihaz yok: Android 7.0 çalıştıran hiçbir Nexus cihaz bu sorundan etkilenmiyorsa tablonun Güncellenen Nexus cihazlar sütununda "Yok" ifadesi yer alır.
4. Referanslar sütunundaki girişler neyle eşlenir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir ön ek içerebilir. Bu önekler aşağıdaki şekilde eşlenir:
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| QC- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
Düzeltmeler
- 6 Eylül 2016: Bülten yayınlandı.
- 7 Eylül 2016: Bülten, AOSP bağlantılarını içerecek şekilde düzeltildi.
- 12 Eylül 2016: Bülten, CVE-2016-3861 ile ilgili ilişkilendirmeyi güncellemek ve CVE-2016-3877'yi kaldırmak için düzeltildi.