Yayınlanma tarihi: 3 Ekim 2016 | Güncellenme tarihi: 4 Ekim 2016
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, Nexus cihazlara kablosuz (OTA) güncelleme aracılığıyla bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri Google geliştirici sitesinde de yayınlanmıştır. 05 Ekim 2016 veya sonraki güvenlik yaması düzeyleri bu sorunları giderir. Güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için dokümanları inceleyin. Desteklenen Nexus cihazlar, 05 Ekim 2016 güvenlik yaması düzeyini içeren tek bir OTA güncellemesi alacak.
İş ortakları, bültenimizde açıklanan sorunlar hakkında 06 Eylül 2016'da veya daha önce bilgilendirilmiştir. Uygun durumlarda, bu sorunlara yönelik kaynak kod yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır. Bu bülten, AOSP dışındaki yamalar için bağlantılar da içerir.
Bu sorunlardan en ciddi olanı, cihaza özgü kodda bulunan ve çekirdek bağlamında uzaktan kod yürütmeyi etkinleştirebilecek kritik güvenlik açıklarıdır. Bu açıklar, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesine yol açabilir. Bu durumda, cihazı onarmak için işletim sisteminin yeniden yüklenmesi gerekebilir. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android güvenlik platformu korumaları ve Android platformunun güvenliğini artıran SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmet çözümleri bölümüne bakın.
Tüm müşterilerimizi, cihazlarındaki bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sunmak için iki güvenlik yaması düzeyi dizesi içerir. Daha fazla bilgi için Sık sorulan sorular ve yanıtları bölümüne göz atın:
- 2016-10-01: Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik yaması düzeyi dizesi, 01.10.2016 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizelerinin) giderildiğini gösterir.
- 2016-10-05: Güvenlik yaması seviyesi dizesinin tamamı. Bu güvenlik yaması düzeyi dizesi, 2016-10-01 ve 2016-10-05 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- Desteklenen Nexus cihazlar, 05 Ekim 2016 güvenlik yaması düzeyini içeren tek bir OTA güncellemesi alacak.
Android ve Google hizmetlerinin azaltılması
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorunun kötüye kullanımını zorlaştırmaktadır. Tüm kullanıcıların mümkün olduğunda Android'in en son sürümüne güncelleme yapmalarını öneririz.
- Android Güvenlik Ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar hakkında uyarmak için tasarlanmış Uygulamaları Doğrulama ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Uygulama Doğrulama, Google Mobil Hizmetleri'nin yüklü olduğu cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır ancak Uygulama Doğrulama, tespit edilen bir köklendirme uygulamasını yüklemeye çalışan kullanıcıları uyarır. Ayrıca Uygulama Doğrulama, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen zararlı uygulamaları tespit edip yüklemesini engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulama Doğrulama, kullanıcıyı bilgilendirir ve tespit edilen uygulamayı kaldırmaya çalışır.
- Google Hangouts ve Messenger uygulamaları, uygun olduğu durumlarda medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Andre Teixeira Rizzo: CVE-2016-3882
- Andrea Biondo: CVE-2016-3921
- Copperhead Security'ten Daniel Micay: CVE-2016-3922
- Google'dan Dmitry Vyukov: CVE-2016-7117
- dosomder: CVE-2016-3931
- Trend Micro'dan Ecular Xu (徐健): CVE-2016-3920
- Gengjia Chen (@chengjia4574) ve Qihoo 360 Technology Co. Ltd.'nin IceSword Lab'den pjf: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
- UC Riverside'dan Hang Zhang, Dongdong She ve Zhiyun Qian: CVE-2015-8950
- Qihoo 360 Technology Co. Ltd. Alpha Ekibi'nden Hao Chen: CVE-2016-3860
- Google Project Zero'dan Jann Horn: CVE-2016-3900, CVE-2016-3885
- Jason Rogena: CVE-2016-3917
- Jianqiang Zhao (@jianqiangzhao) ve pjf, IceSword Lab, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681, CVE-2016-6682, CVE-2016-3930
- Joshua Drake (@jduck): CVE-2016-3920
- Google güvenlik ekibinden Maciej Szawłowski: CVE-2016-3905
- Google Project Zero Markası: CVE-2016-6689
- Michał Bednarski: CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-3933, CVE-2016-3932
- Nightwatch Cybersecurity Research (@nightwatchcyber): CVE-2016-5348
- Roee Hay, IBM Security X-Force Araştırmacısı: CVE-2016-6678
- Google'dan Samuel Tan: CVE-2016-3925
- Scott Bauer (@ScottyBauer1): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- Trend Micro Mobil Tehdit Araştırma Ekibi'nden Seven Shen (@lingtongshen): CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
- Wenke Dou, Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-3909
- Wenlin Yang ve Guang Gong (龚广) (@oldfresher), Alpha Ekibi, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Wish Wu (吴潍浠) (@wish_wu) of Trend Micro Inc.: CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- Yong Shi, Eagleye ekibi, SCC, Huawei: CVE-2016-3938
- Cheetah Mobile'ın Security Research Lab'den Zhanpeng Zhao (行之) (@0xr0ot): CVE-2016-3908
2016-10-01 güvenlik yaması düzeyi—Zayıflık ayrıntıları
Aşağıdaki bölümlerde, 01.10.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (geçerli olduğunda) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek referanslar hata kimliğinin ardından gelen sayılara bağlanır.
ServiceManager'da ayrıcalık yükseltme güvenlik açığı
ServiceManager'da ayrıcalık yükseltilmesi, yerel kötü amaçlı bir uygulamanın normalde system_server gibi ayrıcalıklı bir işlem tarafından sağlanacak olan rastgele hizmetleri kaydetmesine olanak tanıyabilir. Hizmet kimliğine bürünme olasılığı nedeniyle bu sorun yüksek önem düzeyinde olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [2] | Yüksek | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haziran 2016 |
Kilit Ayarları Hizmeti'nde ayrıcalık yükseltme güvenlik açığı
Kilit Ayarları Hizmeti'nde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın cihaz PIN'ini veya şifresini temizlemesine olanak tanıyabilir. Bu sorun, geliştirici veya güvenlik ayarları değişiklikleri için kullanıcı etkileşimi koşullarının yerel olarak atlatılması nedeniyle Yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | Yüksek | Tüm Nexus | 6.0, 6.0.1, 7.0 | 6 Temmuz 2016 |
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
Mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [2] | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 Temmuz 2016 |
| CVE-2016-3910 | A-30148546 | Yüksek | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 Temmuz 2016 |
| CVE-2016-3913 | A-30204103 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 Temmuz 2016 |
Zygote sürecinde ayrıcalık yükseltme güvenlik açığı
Zygote işleminde ayrıcalık yükseltilmesi, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaların erişemediği gelişmiş özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 Temmuz 2016 |
Çerçeve API'lerinde ayrıcalık yükseltme güvenlik açığı
Çerçeve API'lerinde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 Temmuz 2016 |
Telefon uygulamasında ayrıcalık yükseltme güvenlik açığı
Telefon bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 Temmuz 2016 |
Kamera hizmetinde ayrıcalık yükseltme güvenlik açığı
Kamera hizmetinde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1 Ağustos 2016 |
| CVE-2016-3916 | A-30741779 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 Ağustos 2016 |
Parmak izi girişinde ayrıcalık yükseltme güvenlik açığı
Parmak izi girişi sırasında ayrıcalık yükseltme güvenlik açığı, kötü niyetli bir cihaz sahibinin cihazda farklı bir kullanıcı hesabıyla giriş yapmasına olanak tanıyabilir. Bu sorun, kilit ekranının atlanma olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3917 | A-30744668 | Yüksek | Tüm Nexus | 6.0.1, 7.0 | 5 Ağustos 2016 |
AOSP Mail'de bilgi ifşa etme güvenlik açığı
AOSP Mail'deki bir bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın uygulama verilerini diğer uygulamalardan ayıran işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, izinsiz olarak verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3918 | A-30745403 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 Ağustos 2016 |
Kablosuz bağlantıda hizmet reddi güvenlik açığı
Kablosuz ağdaki hizmet reddi güvenlik açığı, yerel bir saldırganın yakınınızda hotspot oluşturmasına ve cihazın yeniden başlatılmasına neden olabilir. Bu sorun, geçici süreli uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3882 | A-29464811 | Yüksek | Tüm Nexus | 6.0, 6.0.1, 7.0 | 17 Haziran 2016 |
GPS'de hizmet reddi güvenlik açığı
GPS bileşenindeki hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın donmasına veya yeniden başlatılmasına neden olmasına olanak tanıyabilir. Bu sorun, geçici süreli uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | Yüksek | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 Haziran 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki hizmet reddi güvenlik açığı, saldırganların cihazın donmasına veya yeniden başlatılmasına neden olmak için özel olarak hazırlanmış bir dosya kullanmasına olanak tanıyabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3920 | A-30744884 | Yüksek | Tüm Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 Ağustos 2016 |
Framework Listener'da ayrıcalık yükseltme güvenlik açığı
Framework Listener'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 Haziran 2016 |
Telefon uygulamasında ayrıcalık yükseltme güvenlik açığı
Telefon uygulamasındaki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında keyfi kod çalıştırmasına olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | Orta seviye | Tüm Nexus | 6.0, 6.0.1, 7.0 | 17 Temmuz 2016 |
Erişilebilirlik hizmetlerinde yetki yükseltme güvenlik açığı
Erişilebilirlik hizmetlerinde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın cihazda beklenmedik dokunma etkinlikleri oluşturmasına olanak tanıyabilir. Bu da uygulamaların, kullanıcının açık izni olmadan izin iletişim kutularını kabul etmesine neden olabilir. Bu sorun, normalde kullanıcının başlatması veya kullanıcı izni gerektiren kullanıcı etkileşimi koşullarının yerel olarak atlatılması olduğu için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3923 | A-30647115 | Orta seviye | Tüm Nexus | 7,0 | Yalnızca Google |
Mediaserver'da bilgi ifşa etme güvenlik açığı
Mediaserver'da bulunan bir bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. İzinsiz olarak hassas verilere erişmek için kullanılabileceğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | Orta seviye | Tüm Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 Temmuz 2016 |
Kablosuz bağlantıda hizmet reddi güvenlik açığı
Kablosuz hizmetinde hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın kablosuz aramayı engellemesine neden olabilir. Bu sorun, uygulama işlevlerine hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | Orta seviye | Tüm Nexus | 6.0, 6.0.1, 7.0 | Yalnızca Google |
2016-10-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 05.10.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Nexus cihazlar, güncellenmiş AOSP sürümleri (geçerli olduğunda) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek referanslar hata kimliğinin ardından gelen sayılara bağlanır.
Çekirdek ASN.1 kod çözücüsünde uzaktan kod yürütme güvenlik açığı
Çekirdek ASN.1 kod çözücüsünde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 Upstream çekirdek |
Kritik (Critical) | Nexus 5X, Nexus 6P | 12 Mayıs 2016 |
Çekirdek ağ iletişimi alt sisteminde uzaktan kod yürütme güvenlik açığı
Çekirdek ağ iletişimi alt sisteminde bulunan uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 Yukarı yönlü çekirdek |
Kritik (Critical) | Tüm Nexus | Yalnızca Google |
MediaTek video sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 |
Kritik (Critical) | Yok | 6 Temmuz 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek paylaşılan bellek sürücüsünde ayrıcalık yükseltme güvenlik açığı
Çekirdek paylaşılan bellek sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 |
Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 Temmuz 2016 |
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tabloda, Qualcomm bileşenlerini etkileyen güvenlik açıkları yer almaktadır. Bu açıklar, Qualcomm AMSS Mart 2016 ve Qualcomm AMSS Nisan 2016 güvenlik bültenlerinde daha ayrıntılı olarak açıklanmıştır.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | Kritik (Critical) | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | Qualcomm'un dahili |
| CVE-2016-3927 | A-28823244* | Kritik (Critical) | Nexus 5X, Nexus 6P | Qualcomm'un dahili |
| CVE-2016-3929 | A-28823675* | Yüksek | Nexus 5X, Nexus 6P | Qualcomm'un dahili |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm ağ bileşeninde ayrıcalık yükseltme güvenlik açığı
Qualcomm ağ bileşeninde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 |
Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 Şubat 2016 |
NVIDIA MMC test sürücüsünde yetki yükseltme güvenlik açığı
NVIDIA MMC test sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 |
Yüksek | Nexus 9 | 12 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm QSEE Communicator sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm QSEE Communicator sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesi gerektiği için bu sorun yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 Haziran 2016 |
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
Mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 |
Yüksek | Yok | 6 Haziran 2016 |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 |
Yüksek | Nexus 9, Pixel C | 14 Haziran 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm kamera sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm kamera sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 |
Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 20 Haziran 2016 |
| CVE-2016-3934 | A-30102557 QC-CR#789704 |
Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 Temmuz 2016 |
Qualcomm ses sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm ses sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 |
Yüksek | Nexus 5X, Nexus 6P, Android One | 20 Haziran 2016 |
Qualcomm şifreleme motoru sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm kriptografik motor sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 Temmuz 2016 |
| CVE-2016-3935 | A-29999665 QC-CR#1046507 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 6 Temmuz 2016 |
MediaTek video sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 |
Yüksek | Yok | 6 Temmuz 2016 |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 |
Yüksek | Yok | 7 Temmuz 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm video sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 7 Temmuz 2016 |
| CVE-2016-3939 | A-30874196 QC-CR#1001224 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 15 Ağustos 2016 |
Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükseltme güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | Yüksek | Nexus 6P, Android One | 12 Temmuz 2016 |
| CVE-2016-6672 | A-30537088* | Yüksek | Nexus 5X | 31 Temmuz 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
NVIDIA kamera sürücüsünde ayrıcalık yükseltme güvenlik açığı
NVIDIA kamera sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 |
Yüksek | Nexus 9 | 17 Temmuz 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
system_server'da ayrıcalık yükseltme güvenlik açığı
system_server'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | Yüksek | Tüm Nexus | 26 Temmuz 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm kablosuz ağ sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 QC-CR#1001449 |
Yüksek | Nexus 5X | Yalnızca Google |
| CVE-2016-6675 | A-30873776 QC-CR#1000861 |
Yüksek | Nexus 5X, Android One | 15 Ağustos 2016 |
| CVE-2016-6676 | A-30874066 QC-CR#1000853 |
Yüksek | Nexus 5X, Android One | 15 Ağustos 2016 |
| CVE-2016-5342 | A-30878283 QC-CR#1032174 |
Yüksek | Android One | 15 Ağustos 2016 |
Çekirdek performansı alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek performansı alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 Upstream çekirdek |
Yüksek | Nexus 5X, Nexus 6P, Pixel C, Android One | Yalnızca Google |
Çekirdek ION alt sisteminde bilgi ifşa etme güvenlik açığı
Çekirdek ION alt sisteminde bulunan bir bilgi açıklaması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 |
Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 12 Mayıs 2016 |
NVIDIA GPU sürücüsünde bilgi ifşa zayıflığı
NVIDIA GPU sürücüsündeki bilgi açığa çıkarma güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 |
Yüksek | Nexus 9 | 19 Temmuz 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm karakter sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm karakter sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği ve güvenlik açığı bulunan koda şu anda erişilemediği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 QC-CR#848489 |
Orta seviye | Nexus 5X, Nexus 6P | 28 Mayıs 2016 |
Qualcomm ses sürücüsündeki bilgi paylaşımı güvenlik açığı
Qualcomm ses sürücüsündeki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 |
Orta seviye | Nexus 5X, Nexus 6P, Android One | 13 Haziran 2016 |
Motorola USBNet sürücüsünde bilgi ifşa etme güvenlik açığı
Motorola USBNet sürücüsündeki bir bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | Orta seviye | Nexus 6 | 30 Haziran 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm bileşenlerindeki bilgi paylaşımı güvenlik açığı
Ses sürücüsü, IPA sürücüsü ve kablosuz sürücü dahil olmak üzere Qualcomm bileşenlerinde bulunan bir bilgi açığa çıkarma güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [2] |
Orta seviye | Nexus 5X, Android One | 30 Haziran 2016 |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 |
Orta seviye | Nexus 5X, Nexus 6P, | 2 Temmuz 2016 |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 |
Orta seviye | Nexus 5X, Android One | 3 Temmuz 2016 |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 |
Orta seviye | Nexus 5X, Nexus 6P, Android One | 14 Temmuz 2016 |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 |
Orta seviye | Nexus 5X, Nexus 6P, Android One | 14 Temmuz 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek bileşenlerinde bilgi paylaşımı güvenlik açığı
Binder, senkronizasyon, Bluetooth ve ses sürücüsü gibi çekirdek bileşenlerindeki bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | Orta seviye | Tüm Nexus | 13 Temmuz 2016 |
| CVE-2016-6684 | A-30148243* | Orta seviye | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Android One | 13 Temmuz 2016 |
| CVE-2015-8956 | A-30149612* | Orta seviye | Nexus 5, Nexus 6P, Android One | 14 Temmuz 2016 |
| CVE-2016-6685 | A-30402628* | Orta seviye | Nexus 6P | 25 Temmuz 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
NVIDIA profilleyicisinde bilgi ifşa zayıflığı
NVIDIA profilleyicisindeki bilgi ifşa etme güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 |
Orta seviye | Nexus 9 | 15 Temmuz 2016 |
| CVE-2016-6687 | A-30162222* N-CVE-2016-6687 |
Orta seviye | Nexus 9 | 15 Temmuz 2016 |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 |
Orta seviye | Nexus 9 | 2 Ağustos 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdekteki bilgi ifşa zayıflığı
Binder'daki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | Orta seviye | Tüm Nexus | 9 Ağustos 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek ağ alt sisteminde hizmet reddi güvenlik açığı
Çekirdek ağ alt sisteminde bulunan bir hizmet reddi güvenlik açığı, saldırganın TCP bağlantılarına erişimi engellemesine ve geçici bir uzaktan hizmet reddi saldırısına neden olabilir. Hücresel hizmetler ve cihaz hâlâ kullanılabilir durumda olduğundan bu sorun orta önem düzeyinde olarak değerlendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 Yukarı yönlü çekirdek |
Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 12 Temmuz 2016 |
Çekirdek ses sürücüsünde hizmet reddi güvenlik açığı
Çekirdekteki hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın cihazı yeniden başlatmasına neden olabilir. Bu sorun, geçici bir hizmet reddi olduğundan Düşük olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | Düşük | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player | 18 Mayıs 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tabloda, Qualcomm bileşenlerini etkileyen güvenlik açıklarının listesi yer almaktadır.
| CVE | Referanslar | Önem derecesi | Güncellenen Nexus cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | Yüksek | Yok | Temmuz 2016 |
| CVE-2016-6692 | QC-CR#1004933 | Yüksek | Yok | Ağustos 2016 |
| CVE-2016-6693 | QC-CR#1027585 | Yüksek | Yok | Ağustos 2016 |
| CVE-2016-6694 | QC-CR#1033525 | Yüksek | Yok | Ağustos 2016 |
| CVE-2016-6695 | QC-CR#1033540 | Yüksek | Yok | Ağustos 2016 |
| CVE-2016-6696 | QC-CR#1041130 | Yüksek | Yok | Ağustos 2016 |
| CVE-2016-5344 | QC-CR#993650 | Orta seviye | Yok | Ağustos 2016 |
| CVE-2016-5343 | QC-CR#1010081 | Orta seviye | Yok | Ağustos 2016 |
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek yaygın sorular yanıtlanmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
01.10.2016 veya sonraki güvenlik yaması düzeyleri, 01.10.2016 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları giderir. 05.10.2016 veya sonraki güvenlik yaması düzeyleri, 05.10.2016 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları giderir. Güvenlik yaması seviyesini nasıl kontrol edeceğinizle ilgili talimatlar için Yardım Merkezi'ne bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-10-01] veya [ro.build.version.security_patch]:[2016-10-05].
2. Bu bültende neden iki güvenlik yaması düzeyi dizesi var?
Bu bülten, Android iş ortaklarının tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliğine sahip olması için iki güvenlik yaması düzeyi dizesi içerir. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmesi ve en son güvenlik yaması düzeyi dizesini kullanması önerilir.
5 Ekim 2016 veya daha yeni bir güvenlik yaması düzeyine sahip cihazlar, bu (ve önceki) güvenlik bültenlerindeki tüm geçerli yamaları içermelidir.
1 Ekim 2016 güvenlik yaması düzeyini kullanan cihazlar, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir.
3. Her sorundan hangi Nexus cihazların etkilendiğini nasıl öğrenebilirim?
2016-10-01 ve 2016-10-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda her sorun için güncellenen etkilenen Nexus cihazların kapsamını içeren bir Güncellenen Nexus cihazlar sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazlar: Bir sorun tüm Nexus cihazları etkiliyorsa tablonun Güncellenen Nexus cihazlar sütununda "Tüm Nexus" ifadesi yer alır. "Tüm Nexus", aşağıdaki desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazlar: Bir sorun tüm Nexus cihazları etkilemiyorsa etkilenen Nexus cihazlar Güncellenen Nexus cihazlar sütununda listelenir.
- Nexus cihaz yok: Android 7.0 çalıştıran Nexus cihazlardan hiçbiri sorundan etkilenmiyorsa tablonun Güncellenen Nexus cihazlar sütununda "Yok" ifadesi yer alır.
4. Referanslar sütunundaki girişler neyle eşlenir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir ön ek içerebilir. Bu önekler aşağıdaki şekilde eşlenir:
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| QC- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
Düzeltmeler
- 3 Ekim 2016: Bülten yayınlandı.
- 04 Ekim 2016: Bülten, AOSP bağlantılarını ve CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 ve CVE-2016-6696 ile ilgili güncel bilgileri içerecek şekilde düzeltildi.