Yayınlanma Tarihi 03 Ekim 2016 | Güncellenme tarihi: 04 Ekim 2016
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 05 Ekim 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları ele almaktadır. Güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için belgelere bakın. Desteklenen Nexus cihazları, 05 Ekim 2016 güvenlik yaması düzeyine sahip tek bir OTA güncellemesi alacaktır.
Bültende açıklanan hususlarla ilgili olarak ortaklara 06 Eylül 2016 veya öncesinde bilgi verilmiştir. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten aynı zamanda AOSP dışındaki yamalara bağlantılar da içermektedir.
Bu sorunlardan en ciddi olanı, cihaza özgü koddaki, çekirdek bağlamında uzaktan kod yürütülmesine olanak tanıyan, yerel kalıcı cihaz güvenliği ihlali olasılığına yol açan ve cihazı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek Kritik güvenlik açıklarıdır. . Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.
Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltımları bölümüne bakın.
Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi bulunmaktadır. Ek bilgi için Yaygın sorular ve yanıtlara bakın:
- 2016-10-01 : Kısmi güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2016-10-01 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizeleri) giderildiğini gösterir.
- 2016-10-05 : Tam güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2016-10-01 ve 2016-10-05 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- Desteklenen Nexus cihazları, 05 Ekim 2016 güvenlik yaması düzeyine sahip tek bir OTA güncellemesi alacaktır.
Android ve Google hizmet azaltımları
Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür ederiz:
- Andre Teixeira Rizzo: CVE-2016-3882
- Andrea Biondo: CVE-2016-3921
- Copperhead Güvenlik'ten Daniel Micay: CVE-2016-3922
- Google'dan Dmitry Vyukov : CVE-2016-7117
- dosomder: CVE-2016-3931
- Trend Micro'dan Ecular Xu (徐健): CVE-2016-3920
- Gengjia Chen ( @chengjia4574 ) ve IceSword Lab'den pjf , Qihoo 360 Technology Co. Ltd.: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
- UC Riverside'dan Hang Zhang , Dongdong She ve Zhiyun Qian : CVE-2015-8950
- Alpha Team'den Hao Chen, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- Google Project Zero'dan Jann Horn: CVE-2016-3900, CVE-2016-3885
- Jason Rogena : CVE-2016-3917
- Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab'den pjf , Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681 , CVE-2016-6682, CVE-2016-3930
- Joshua Drake ( @jduck ): CVE-2016-3920
- Google güvenlik ekibinden Maciej Szawłowski: CVE-2016-3905
- Google Project Zero'nun Mark Markası: CVE-2016-6689
- Michał Bednarski : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-3933, CVE-2016-3932
- Nightwatch Siber Güvenlik Araştırması ( @nightwatchcyber ): CVE-2016-5348
- Roee Hay, IBM Güvenlik X-Force Araştırmacısı: CVE-2016-6678
- Google'dan Samuel Tan: CVE-2016-3925
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- Trend Micro Mobil Tehdit Araştırma Ekibinden Yedi Shen ( @lingtongshen ): CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
- Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-3909
- Alpha Team'den Wenlin Yang ve Guang Gong (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Trend Micro Inc.'den Wish Wu (吴潍浠) ( @wish_wu) : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- Eagleye ekibinden Yong Shi, SCC, Huawei: CVE-2016-3938
- Güvenlik Araştırma Laboratuvarı'ndan Zhanpeng Zhao (行之) ( @0xr0ot ), Cheetah Mobile : CVE-2016-3908
2016-10-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-10-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili referansları, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.
ServiceManager'da ayrıcalık yükselmesi güvenlik açığı
ServiceManager'da ayrıcalık yükselmesi, yerel kötü amaçlı bir uygulamanın, normalde ayrıcalıklı bir işlem tarafından sağlanan sistem_sunucusu gibi rastgele hizmetleri kaydetmesine olanak tanıyabilir. Bu sorun, hizmetin kimliğine bürünme olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [ 2 ] | Yüksek | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haziran 2016 |
Kilit Ayarları Hizmetinde ayrıcalık yükselmesi güvenlik açığı
Kilit Ayarları Hizmeti'ndeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın cihazın PIN'ini veya parolasını temizlemesine olanak sağlayabilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğundan Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | Yüksek | Tüm Nexus'lar | 6.0, 6.0.1, 7.0 | 6 Temmuz 2016 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [ 2 ] | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 Temmuz 2016 |
| CVE-2016-3910 | A-30148546 | Yüksek | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 Temmuz 2016 |
| CVE-2016-3913 | A-30204103 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 Temmuz 2016 |
Zygote sürecinde ayrıcalık yükselmesi güvenlik açığı
Zygote sürecindeki ayrıcalık yükselmesi, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir süreç bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 Temmuz 2016 |
Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı
Çerçeve API'lerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 Temmuz 2016 |
Telefon hizmetlerinde ayrıcalık yükselmesi güvenlik açığı
Telefon bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 Temmuz 2016 |
Kamera hizmetinde ayrıcalık yükselmesi güvenlik açığı
Kamera hizmetindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1 Ağu 2016 |
| CVE-2016-3916 | A-30741779 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 Ağu 2016 |
Parmak iziyle oturum açmada ayrıcalık yükselmesi güvenlik açığı
Parmak iziyle oturum açma sırasında ortaya çıkan ayrıcalık yükselmesi güvenlik açığı, kötü niyetli bir cihaz sahibinin cihazda farklı bir kullanıcı hesabıyla oturum açmasına olanak tanıyabilir. Bu sorun, kilit ekranını atlama olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3917 | A-30744668 | Yüksek | Tüm Nexus'lar | 6.0.1, 7.0 | 5 Ağu 2016 |
AOSP Mail'de bilginin açığa çıkması güvenlik açığı
AOSP Mail'deki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3918 | A-30745403 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 Ağu 2016 |
Wi-Fi'de hizmet reddi güvenlik açığı
Wi-Fi'deki hizmet reddi güvenlik açığı, yerel bir yakın saldırganın bir erişim noktası oluşturmasına ve cihazın yeniden başlatılmasına neden olmasına olanak sağlayabilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3882 | A-29464811 | Yüksek | Tüm Nexus'lar | 6.0, 6.0.1, 7.0 | 17 Haziran 2016 |
GPS'te hizmet reddi güvenlik açığı
GPS bileşenindeki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak sağlayabilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 Haziran 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3920 | A-30744884 | Yüksek | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 Ağu 2016 |
Framework Listener'da ayrıcalık yükselmesi güvenlik açığı
Framework Listener'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 Haziran 2016 |
Telefon hizmetlerinde ayrıcalık yükselmesi güvenlik açığı
Telefondaki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | Ilıman | Tüm Nexus'lar | 6.0, 6.0.1, 7.0 | 17 Temmuz 2016 |
Erişilebilirlik hizmetlerinde ayrıcalık yükselmesi güvenlik açığı
Erişilebilirlik hizmetlerindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın cihazda beklenmeyen dokunma olayları oluşturmasına olanak tanıyarak uygulamaların kullanıcının açık izni olmadan izin iletişim kutularını kabul etmesine yol açabilir. Bu sorun, normalde kullanıcı girişimi veya kullanıcı izni gerektiren kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3923 | A-30647115 | Ilıman | Tüm Nexus'lar | 7.0 | Google dahili |
Mediaserver'da bilgilerin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 Temmuz 2016 |
Wi-Fi'de hizmet reddi güvenlik açığı
Wi-Fi hizmetindeki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın Wi-Fi aramasını engellemesine olanak tanıyabilir. Bu sorun, uygulama işlevselliğinde hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | Ilıman | Tüm Nexus'lar | 6.0, 6.0.1, 7.0 | Google dahili |
2016-10-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-10-05 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili referansları, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.
Çekirdek ASN.1 kod çözücüsünde uzaktan kod yürütme güvenlik açığı
Çekirdek ASN.1 kod çözücüsündeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 Yukarı akış çekirdeği | Kritik | Nexus 5X, Nexus 6P | 12 Mayıs 2016 |
Çekirdek ağ alt sisteminde uzaktan kod yürütme güvenlik açığı
Çekirdek ağı alt sistemindeki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 Yukarı akış çekirdeği | Kritik | Tüm Nexus'lar | Google dahili |
MediaTek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 | Kritik | Hiçbiri | 6 Temmuz 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdek paylaşımlı bellek sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek paylaşılan bellek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 | Kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 Temmuz 2016 |
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tablo, Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir ve Qualcomm AMSS Mart 2016 ve Qualcomm AMSS Nisan 2016 güvenlik bültenlerinde daha ayrıntılı olarak açıklanmaktadır.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | Kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | Qualcomm dahili |
| CVE-2016-3927 | A-28823244* | Kritik | Nexus 5X, Nexus 6P | Qualcomm dahili |
| CVE-2016-3929 | A-28823675* | Yüksek | Nexus 5X, Nexus 6P | Qualcomm dahili |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm ağ bileşeninde ayrıcalık yükselmesi güvenlik açığı
Qualcomm ağ bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 Şubat 2016 |
NVIDIA MMC test sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA MMC test sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 | Yüksek | Nexus 9 | 12 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm QSEE Communicator sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm QSEE Communicator sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 Haziran 2016 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 | Yüksek | Hiçbiri | 6 Haziran 2016 |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 | Yüksek | Nexus 9, Piksel C | 14 Haziran 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 20 Haziran 2016 |
| CVE-2016-3934 | A-30102557 QC-CR#789704 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 Temmuz 2016 |
Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 | Yüksek | Nexus 5X, Nexus 6P, Android One | 20 Haziran 2016 |
Qualcomm kripto motoru sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm şifreleme motoru sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 Temmuz 2016 |
| CVE-2016-3935 | A-29999665 QC-CR#1046507 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 Temmuz 2016 |
MediaTek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 | Yüksek | Hiçbiri | 6 Temmuz 2016 |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 | Yüksek | Hiçbiri | 7 Temmuz 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 7 Temmuz 2016 |
| CVE-2016-3939 | A-30874196 QC-CR#1001224 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 15 Ağu 2016 |
Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | Yüksek | Nexus 6P, Android One | 12 Temmuz 2016 |
| CVE-2016-6672 | A-30537088* | Yüksek | Nexus5X | 31 Temmuz 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
NVIDIA kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 | Yüksek | Nexus 9 | 17 Temmuz 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
System_server'da ayrıcalık yükselmesi güvenlik açığı
System_server'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | Yüksek | Tüm Nexus'lar | 26 Temmuz 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 QC-CR#1001449 | Yüksek | Nexus5X | Google dahili |
| CVE-2016-6675 | A-30873776 QC-CR#1000861 | Yüksek | Nexus 5X, Android One | 15 Ağu 2016 |
| CVE-2016-6676 | A-30874066 QC-CR#1000853 | Yüksek | Nexus 5X, Android One | 15 Ağu 2016 |
| CVE-2016-5342 | A-30878283 QC-CR#1032174 | Yüksek | Android Bir | 15 Ağu 2016 |
Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 Yukarı akış çekirdeği | Yüksek | Nexus 5X, Nexus 6P, Pixel C, Android One | Google dahili |
Çekirdek ION alt sisteminde bilginin açığa çıkması güvenlik açığı
Çekirdek ION alt sistemindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 12 Mayıs 2016 |
NVIDIA GPU sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
NVIDIA GPU sürücüsündeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 | Yüksek | Nexus 9 | 19 Temmuz 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm karakter sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm karakter sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden ve güvenlik açığı bulunan koda şu anda erişilemediğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 QC-CR#848489 | Ilıman | Nexus 5X, Nexus 6P | 28 Mayıs 2016 |
Qualcomm ses sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
Qualcomm ses sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 | Ilıman | Nexus 5X, Nexus 6P, Android One | 13 Haziran 2016 |
Motorola USBNet sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
Motorola USBNet sürücüsündeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | Ilıman | Nexus 6 | 30 Haziran 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm bileşenlerinde bilgilerin açığa çıkması güvenlik açığı
Ses sürücüsü, IPA sürücüsü ve Wi-Fi sürücüsü de dahil olmak üzere Qualcomm bileşenlerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [ 2 ] | Ilıman | Nexus 5X, Android One | 30 Haziran 2016 |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 | Ilıman | Nexus 5X, Nexus 6P, | 2 Temmuz 2016 |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 | Ilıman | Nexus 5X, Android One | 3 Temmuz 2016 |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 | Ilıman | Nexus 5X, Nexus 6P, Android One | 14 Temmuz 2016 |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 | Ilıman | Nexus 5X, Nexus 6P, Android One | 14 Temmuz 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdek bileşenlerinde bilginin açığa çıkması güvenlik açığı
Binder, Sync, Bluetooth ve Ses sürücüsü de dahil olmak üzere çekirdek bileşenlerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | Ilıman | Tüm Nexus'lar | 13 Temmuz 2016 |
| CVE-2016-6684 | A-30148243* | Ilıman | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı, Android One | 13 Temmuz 2016 |
| CVE-2015-8956 | A-30149612* | Ilıman | Nexus 5, Nexus 6P, Android One | 14 Temmuz 2016 |
| CVE-2016-6685 | A-30402628* | Ilıman | Nexus 6P | 25 Temmuz 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
NVIDIA profil oluşturucudaki bilgilerin açığa çıkması güvenlik açığı
NVIDIA profil oluşturucusundaki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 | Ilıman | Nexus 9 | 15 Temmuz 2016 |
| CVE-2016-6687 | A-30162222* N-CVE-2016-6687 | Ilıman | Nexus 9 | 15 Temmuz 2016 |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 | Ilıman | Nexus 9 | 2 Ağu 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdekte bilginin açığa çıkması güvenlik açığı
Binder'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | Ilıman | Tüm Nexus'lar | 9 Ağustos 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Çekirdek ağ alt sisteminde hizmet reddi güvenlik açığı
Çekirdek ağ alt sistemindeki bir hizmet reddi güvenlik açığı, bir saldırganın TCP bağlantılarına erişimi engellemesine ve geçici olarak uzaktan hizmet reddine neden olmasına olanak sağlayabilir. Bu sorun, hücresel hizmetlerin hâlâ mevcut olması ve cihazın hâlâ kullanılabilir olması nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 Yukarı akış çekirdeği | Ilıman | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı, Pixel C, Android One | 12 Temmuz 2016 |
Çekirdek ses sürücüsündeki hizmet reddi güvenlik açığı
Çekirdekteki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın aygıtın yeniden başlatılmasına neden olmasına izin verebilir. Bu sorun, geçici bir hizmet reddi olduğundan Düşük olarak derecelendirilmiştir.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | Düşük | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Oynatıcı | 18 Mayıs 2016 |
* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tabloda Qualcomm bileşenlerini etkileyen güvenlik açıklarının bir listesi yer almaktadır.
| CVE | Referanslar | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | Yüksek | Hiçbiri | Temmuz 2016 |
| CVE-2016-6692 | QC-CR#1004933 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-6693 | QC-CR#1027585 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-6694 | QC-CR#1033525 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-6695 | QC-CR#1033540 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-6696 | QC-CR#1041130 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-5344 | QC-CR#993650 | Ilıman | Hiçbiri | Ağustos 2016 |
| CVE-2016-5343 | QC-CR#1010081 | Ilıman | Hiçbiri | Ağustos 2016 |
Sık Sorulan Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.
1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?
2016-10-01 veya sonraki Güvenlik Düzeltme Eki Düzeyleri, 2016-10-01 güvenlik düzeltme eki dize düzeyiyle ilişkili tüm sorunları giderir. 2016-10-05 veya sonraki Güvenlik Düzeltme Eki Düzeyleri, 2016-10-05 güvenlik düzeltme eki dize düzeyiyle ilişkili tüm sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için yardım merkezine başvurun. Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-10-01] veya [ro.build.version.security_patch]:[2016-10-05].
2. Bu bültende neden iki güvenlik yaması düzeyi dizisi var?
Bu bültende, Android iş ortaklarının tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliğine sahip olması için iki güvenlik yaması düzeyi dizesi bulunmaktadır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyi dizesini kullanmaları önerilir.
5 Ekim 2016 veya daha yeni bir güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
1 Ekim 2016 güvenlik yaması düzeyini kullanan cihazlar, önceki güvenlik bültenlerinde bildirilen tüm sorunlara yönelik düzeltmelerin yanı sıra, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları da içermelidir.
3. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
2016-10-01 ve 2016-10-05 güvenlik açığı ayrıntıları bölümlerinde, her tablonun, her sorun için güncellenen, etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu vardır. Bu sütunun birkaç seçeneği vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi görünür. "Tüm Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Android 7.0 çalıştıran hiçbir Nexus cihazı bu sorundan etkilenmezse, tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
4. Referanslar sütunundaki girişler neyle eşleşiyor?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler aşağıdaki gibi eşlenir:
| Önek | Referans |
|---|---|
| A- | Android hata kimliği |
| Kalite kontrol- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
Revizyonlar
- 03 Ekim 2016: Bülten yayınlandı.
- 04 Ekim 2016: Bülten, CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 ve CVE-2016-6696 için AOSP bağlantılarını ve güncelleme özelliklerini içerecek şekilde revize edildi.