03 Ekim 2016 tarihinde yayınlandı | 04 Ekim 2016 güncellendi
Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Ekim 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir. Güvenlik düzeltme eki düzeyini nasıl kontrol edeceğinizi öğrenmek için belgelere bakın. Desteklenen Nexus cihazları, 05 Ekim 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacak.
Ortaklar, bültende açıklanan sorunlar hakkında 06 Eylül 2016 veya daha önce bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.
Bu sorunların en ciddi olanı, çekirdek bağlamında uzaktan kod yürütülmesine olanak tanıyan ve aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesine yol açan aygıta özel koddaki kritik güvenlik açıklarıdır. . Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmeti azaltma bölümüne bakın.
Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyinde dizeye sahiptir. Ek bilgi için Genel sorular ve yanıtlara bakın:
- 2016-10-01 : Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-10-01 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
- 2016-10-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-10-01 ve 2016-10-05 ile ilişkili tüm sorunların (ve önceki tüm güvenlik düzeltme eki düzeyi dizelerinin) ele alındığını gösterir.
- Desteklenen Nexus cihazları, 05 Ekim 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacak.
Android ve Google hizmeti azaltmaları
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- Andre Teixeira Rizzo: CVE-2016-3882
- Andrea Biondo: CVE-2016-3921
- Copperhead Security'den Daniel Micay: CVE-2016-3922
- Google'dan Dmitry Vyukov : CVE-2016-7117
- dosya oluşturucu: CVE-2016-3931
- Trend Micro'nun Ecular Xu (徐健): CVE-2016-3920
- Gengjia Chen ( @chengjia4574 ) ve IceSword Lab, Qihoo 360 Technology Co. Ltd.'nin pjf'si: CVE-2016-6690, CVE-2016-3901, CVE-2016-6672, CVE-2016-3940, CVE-2016-3935
- UC Riverside'dan Hang Zhang , Dongdong She ve Zhiyun Qian : CVE-2015-8950
- Alfa Ekibinden Hao Chen, Qihoo 360 Technology Co. Ltd.: CVE-2016-3860
- Google Project Zero'dan Jann Horn: CVE-2016-3900, CVE-2016-3885
- Jason Rogena : CVE-2016-3917
- Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab'den pjf , Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681 , CVE-2016-6682, CVE-2016-3930
- Joshua Drake ( @jduck ): CVE-2016-3920
- Google güvenlik ekibinden Maciej Szawłowski: CVE-2016-3905
- Google Project Zero Markası: CVE-2016-6689
- Michał Bednarski : CVE-2016-3914, CVE-2016-6674, CVE-2016-3911, CVE-2016-3912
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3933, CVE-2016-3932
- Nightwatch Siber Güvenlik Araştırması ( @nightwatchcyber ): CVE-2016-5348
- Roee Hay, IBM Security X-Force Araştırmacısı: CVE-2016-6678
- Google'dan Samuel Tan: CVE-2016-3925
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- Trend Micro Mobil Tehdit Araştırma Ekibinden Seven Shen ( @lingtongshen ): CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695
- Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3909
- Wenlin Yang ve Guang Gong (龚广) ( @oldfresher ) Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- Trend Micro Inc.'den Wish Wu (吴潍浠) ( @wish_wu) : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- Eagleye ekibinden Yong Shi, SCC, Huawei: CVE-2016-3938
- Güvenlik Araştırma Laboratuvarı'ndan Zhanpeng Zhao (行之) ( @0xr0ot ) Cheetah Mobile : CVE-2016-3908
2016-10-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-10-01 yama düzeyi için geçerli olan güvenlik açıklarının her birinin ayrıntılarını sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
ServiceManager'da ayrıcalık yükselmesi güvenlik açığı
ServiceManager'da bir ayrıcalık yükselmesi, yerel bir kötü amaçlı uygulamanın, normalde sistem_sunucusu gibi ayrıcalıklı bir işlem tarafından sağlanacak rastgele hizmetleri kaydetmesini sağlayabilir. Bu sorun, hizmetin kimliğine bürünme olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3900 | A-29431260 [ 2 ] | Yüksek | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haz 2016 |
Kilit Ayarları Hizmetinde ayrıcalık yükselmesi güvenlik açığı
Kilit Ayarları Hizmetindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın cihaz PIN'ini veya parolasını temizlemesine olanak verebilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3908 | A-30003944 | Yüksek | Tüm Bağlantılar | 6.0, 6.0.1, 7.0 | 6 Tem 2016 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3909 | A-30033990 [ 2 ] | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 Tem 2016 |
| CVE-2016-3910 | A-3048546 | Yüksek | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 Tem 2016 |
| CVE-2016-3913 | A-30204103 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 Tem 2016 |
Zygote sürecinde ayrıcalık yükselmesi güvenlik açığı
Zygote sürecinde bir ayrıcalık yükselmesi, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında rasgele kod yürütmesini sağlayabilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3911 | A-30143607 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 Tem 2016 |
Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı
Çerçeve API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3912 | A-30202481 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 Tem 2016 |
Telefonda ayrıcalık yükselmesi güvenlik açığı
Telefon bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3914 | A-30481342 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 Tem 2016 |
Kamera hizmetinde ayrıcalık yükselmesi güvenlik açığı
Kamera hizmetindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3915 | A-30591838 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1 Ağu 2016 |
| CVE-2016-3916 | A-30741779 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 Ağu 2016 |
Parmak izi girişinde ayrıcalık yükselmesi güvenlik açığı
Parmak iziyle oturum açma sırasında bir ayrıcalık yükselmesi güvenlik açığı, kötü niyetli bir aygıt sahibinin aygıtta farklı bir kullanıcı hesabıyla oturum açmasına olanak verebilir. Bu sorun, bir kilit ekranı atlama olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3917 | A-30744668 | Yüksek | Tüm Bağlantılar | 6.0.1, 7.0 | 5 Ağu 2016 |
AOSP Mail'de bilginin açığa çıkması güvenlik açığı
AOSP Mail'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3918 | A-30745403 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 Ağu 2016 |
Wi-Fi'de hizmet reddi güvenlik açığı
Wi-Fi'deki bir hizmet reddi güvenlik açığı, yerel bir yakın saldırganın bir erişim noktası oluşturmasına ve cihazın yeniden başlatılmasına neden olmasına olanak verebilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3882 | A-29464811 | Yüksek | Tüm Bağlantılar | 6.0, 6.0.1, 7.0 | 17 Haz 2016 |
GPS'de hizmet reddi güvenlik açığı
GPS bileşenindeki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın askıda kalmasına veya yeniden başlatılmasına neden olabilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-5348 | A-29555864 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 Haz 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3920 | A-30744884 | Yüksek | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 Ağu 2016 |
Framework Listener'da ayrıcalık yükselmesi güvenlik açığı
Framework Listener'da bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3921 | A-29831647 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 Haz 2016 |
Telefonda ayrıcalık yükselmesi güvenlik açığı
Telefondaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3922 | A-30202619 | Ilıman | Tüm Bağlantılar | 6.0, 6.0.1, 7.0 | 17 Tem 2016 |
Erişilebilirlik hizmetlerinde ayrıcalık yükselmesi güvenlik açığı
Erişilebilirlik hizmetlerindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın cihazda, uygulamaların kullanıcının açık izni olmadan izin iletişim kutularını kabul etmesine yol açabilecek beklenmeyen dokunma olayları oluşturmasına olanak verebilir. Bu sorun, normalde kullanıcı başlatma veya kullanıcı izni gerektiren kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Orta olarak derecelendirilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3923 | A-30647115 | Ilıman | Tüm Bağlantılar | 7.0 | Google dahili |
Mediaserver'da bilginin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3924 | A-30204301 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 Tem 2016 |
Wi-Fi'de hizmet reddi güvenlik açığı
Wi-Fi hizmetindeki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Wi-Fi aramasını engellemesini sağlayabilir. Uygulama işlevselliğinde hizmet reddi olasılığı nedeniyle bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-3925 | A-30230534 | Ilıman | Tüm Bağlantılar | 6.0, 6.0.1, 7.0 | Google dahili |
2016-10-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-10-05 yama düzeyi için geçerli olan güvenlik açıklarının her birinin ayrıntılarını sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Çekirdek ASN.1 kod çözücüde uzaktan kod yürütme güvenlik açığı
Çekirdek ASN.1 kod çözücüdeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-0758 | A-29814470 yukarı akış çekirdeği | kritik | Nexus 5X, Nexus 6P | 12 Mayıs 2016 |
Çekirdek ağ alt sisteminde uzaktan kod yürütme güvenlik açığı
Çekirdek ağ iletişimi alt sistemindeki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-7117 | A-30515201 yukarı akış çekirdeği | kritik | Tüm Bağlantılar | Google dahili |
MediaTek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3928 | A-30019362* M-ALPS02829384 | kritik | Hiçbiri | 6 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek paylaşımlı bellek sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek paylaşılan bellek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-5340 | A-30652312 QC-CR#1008948 | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 26 Tem 2016 |
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tablo Qualcomm bileşenlerini etkileyen güvenlik açıklarını içerir ve Qualcomm AMSS Mart 2016 ve Qualcomm AMSS Nisan 2016 güvenlik bültenlerinde daha ayrıntılı olarak açıklanmıştır.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3926 | A-28823953* | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | Qualcomm dahili |
| CVE-2016-3927 | A-28823244* | kritik | Nexus 5X, Nexus 6P | Qualcomm dahili |
| CVE-2016-3929 | A-28823675* | Yüksek | Nexus 5X, Nexus 6P | Qualcomm dahili |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm ağ bileşeninde ayrıcalık yükselmesi güvenlik açığı
Qualcomm ağ bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2059 | A-27045580 QC-CR#974577 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 4 Şub 2016 |
NVIDIA MMC test sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA MMC test sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3930 | A-28760138* N-CVE-2016-3930 | Yüksek | Bağlantı Noktası 9 | 12 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm QSEE Communicator sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm QSEE Communicator sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3931 | A-29157595 QC-CR#1036418 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android Bir | 4 Haz 2016 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3932 | A-29161895 M-ALPS02770870 | Yüksek | Hiçbiri | 6 Haz 2016 |
| CVE-2016-3933 | A-29421408* N-CVE-2016-3933 | Yüksek | Nexus 9, Piksel C | 14 Haz 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3903 | A-29513227 QC-CR#1040857 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 20 Haz 2016 |
| CVE-2016-3934 | A-30102557 QC-CR#789704 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 Tem 2016 |
Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-8951 | A-30142668 QC-CR#948902 QC-CR#948902 | Yüksek | Nexus 5X, Nexus 6P, Android Bir | 20 Haz 2016 |
Qualcomm kripto motoru sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm şifreleme altyapısı sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3901 | A-29999161 QC-CR#1046434 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android Bir | 6 Tem 2016 |
| CVE-2016-3935 | A-29999665 KK-CR#1046507 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android Bir | 6 Tem 2016 |
MediaTek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3936 | A-30019037* M-ALPS02829568 | Yüksek | Hiçbiri | 6 Tem 2016 |
| CVE-2016-3937 | A-30030994* M-ALPS02834874 | Yüksek | Hiçbiri | 7 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm video sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3938 | A-30019716 QC-CR#1049232 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android Bir | 7 Tem 2016 |
| CVE-2016-3939 | A-30874196 KK-CR#1001224 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android Bir | 15 Ağu 2016 |
Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3940 | A-30141991* | Yüksek | Nexus 6P, Android Bir | 12 Tem 2016 |
| CVE-2016-6672 | A-30537088* | Yüksek | Nexus 5X | 31 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6673 | A-30204201* N-CVE-2016-6673 | Yüksek | Bağlantı Noktası 9 | 17 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
system_server'da ayrıcalık yükselmesi güvenlik açığı
system_server'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6674 | A-30445380* | Yüksek | Tüm Bağlantılar | 26 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3905 | A-28061823 KK-CR#1001449 | Yüksek | Nexus 5X | Google dahili |
| CVE-2016-6675 | A-30873776 KK-CR#1000861 | Yüksek | Nexus 5X, Android Bir | 15 Ağu 2016 |
| CVE-2016-6676 | A-30874066 KK-CR#1000853 | Yüksek | Nexus 5X, Android Bir | 15 Ağu 2016 |
| CVE-2016-5342 | A-30878283 QC-CR#1032174 | Yüksek | Android Bir | 15 Ağu 2016 |
Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-8955 | A-29508816 yukarı akış çekirdeği | Yüksek | Nexus 5X, Nexus 6P, Piksel C, Android Bir | Google dahili |
Çekirdek ION alt sisteminde bilginin açığa çıkması güvenlik açığı
Çekirdek ION alt sistemindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-8950 | A-29795245 QC-CR#1041735 | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 12 Mayıs 2016 |
NVIDIA GPU sürücüsünde bilginin açığa çıkması güvenlik açığı
NVIDIA GPU sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6677 | A-30259955* N-CVE-2016-6677 | Yüksek | Bağlantı Noktası 9 | 19 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm karakter sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm karakter sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği ve güvenlik açığı bulunan koda şu anda erişilemediğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-0572 | A-29156684 KK-CR#848489 | Ilıman | Nexus 5X, Nexus 6P | 28 Mayıs 2016 |
Qualcomm ses sürücüsünde bilginin açığa çıkması güvenlik açığı
Qualcomm ses sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3860 | A-29323142 QC-CR#1038127 | Ilıman | Nexus 5X, Nexus 6P, Android Bir | 13 Haz 2016 |
Motorola USBNet sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
Motorola USBNet sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6678 | A-29914434* | Ilıman | Bağlantı Noktası 6 | 30 Haz 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm bileşenlerinde bilgi ifşa güvenlik açığı
Ses sürücüsü, IPA sürücüsü ve Wi-Fi sürücüsü de dahil olmak üzere Qualcomm bileşenlerindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6679 | A-29915601 QC-CR#1000913 [ 2 ] | Ilıman | Nexus 5X, Android Bir | 30 Haz 2016 |
| CVE-2016-3902 | A-29953313* QC-CR#1044072 | Ilıman | Nexus 5X, Nexus 6P, | 2 Tem 2016 |
| CVE-2016-6680 | A-29982678* QC-CR#1048052 | Ilıman | Nexus 5X, Android Bir | 3 Tem 2016 |
| CVE-2016-6681 | A-30152182 QC-CR#1049521 | Ilıman | Nexus 5X, Nexus 6P, Android Bir | 14 Tem 2016 |
| CVE-2016-6682 | A-30152501 QC-CR#1049615 | Ilıman | Nexus 5X, Nexus 6P, Android Bir | 14 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek bileşenlerinde bilginin açığa çıkması güvenlik açığı
Binder, Sync, Bluetooth ve Sound sürücüsü dahil olmak üzere çekirdek bileşenlerindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6683 | A-30143283* | Ilıman | Tüm Bağlantılar | 13 Tem 2016 |
| CVE-2016-6684 | A-30148243* | Ilıman | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı, Android One | 13 Tem 2016 |
| CVE-2015-8956 | A-30149612* | Ilıman | Nexus 5, Nexus 6P, Android Bir | 14 Tem 2016 |
| CVE-2016-6685 | A-30402628* | Ilıman | Nexus 6P | 25 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA profil oluşturucuda bilginin açığa çıkması güvenlik açığı
NVIDIA profil oluşturucudaki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6686 | A-30163101* N-CVE-2016-6686 | Ilıman | Bağlantı Noktası 9 | 15 Tem 2016 |
| CVE-2016-6687 | A-30162222* N-CVE-2016-6687 | Ilıman | Bağlantı Noktası 9 | 15 Tem 2016 |
| CVE-2016-6688 | A-30593080* N-CVE-2016-6688 | Ilıman | Bağlantı Noktası 9 | 2 Ağu 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdekte bilginin açığa çıkması güvenlik açığı
Binder'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6689 | A-30768347* | Ilıman | Tüm Bağlantılar | 9 Ağu 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek ağ alt sisteminde hizmet reddi güvenlik açığı
Çekirdek ağ iletişimi alt sistemindeki bir hizmet reddi güvenlik açığı, bir saldırganın TCP bağlantılarına erişimi engellemesine ve geçici olarak uzaktan hizmet reddine neden olabilir. Hücresel hizmetler hala mevcut olduğundan ve cihaz hala kullanılabilir olduğundan bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-5696 | A-30809774 yukarı akış çekirdeği | Ilıman | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı, Pixel C, Android One | 12 Tem 2016 |
Çekirdek ses sürücüsünde hizmet reddi güvenlik açığı
Çekirdekteki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın aygıtın yeniden başlatılmasına neden olmasına izin verebilir. Bu sorun, geçici bir hizmet reddi olduğu için Düşük olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | Düşük | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Oynatıcı | 18 Mayıs 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tablo, Qualcomm bileşenlerini etkileyen güvenlik açıklarının bir listesini içerir.
| CVE | Referanslar | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | Yüksek | Hiçbiri | Temmuz 2016 |
| CVE-2016-6692 | KK-CR#1004933 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-6693 | QC-CR#1027585 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-6694 | QC-CR#1033525 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-6695 | KK-CR#1033540 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-6696 | QC-CR#1041130 | Yüksek | Hiçbiri | Ağustos 2016 |
| CVE-2016-5344 | QC-CR#993650 | Ilıman | Hiçbiri | Ağustos 2016 |
| CVE-2016-5343 | KK-CR#1010081 | Ilıman | Hiçbiri | Ağustos 2016 |
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
2016-10-01 veya sonraki sürümlerin Güvenlik Yaması Düzeyleri, 2016-10-01 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları ele alır. 2016-10-05 veya sonraki sürümlerin Güvenlik Yaması Düzeyleri, 2016-10-05 güvenlik yaması dize düzeyiyle ilişkili tüm sorunları ele alır. Güvenlik yama düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için yardım merkezine bakın. Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini [ro.build.version.security_patch]:[2016-10-01] veya [ro.build.version.security_patch]:[2016-10-05] olarak ayarlamalıdır.
2. Bu bültende neden iki güvenlik düzeltme eki düzeyi dizesi var?
Bu bültende, Android iş ortaklarının tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliğine sahip olması için iki güvenlik düzeltme eki düzeyi dizesi vardır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik düzeltme eki düzeyi dizesini kullanmaları önerilir.
5 Ekim 2016 veya daha yeni güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
1 Ekim 2016 güvenlik düzeltme eki düzeyini kullanan cihazlar, önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerinin yanı sıra söz konusu güvenlik düzeltme eki düzeyiyle ilişkili tüm sorunları içermelidir.
3. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
2016-10-01 ve 2016-10-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi bulunur. "Tüm Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa, etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Android 7.0 çalıştıran hiçbir Nexus cihazı sorundan etkilenmiyorsa tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
4. Referanslar sütunundaki girişler neyle eşleşir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler şu şekilde eşlenir:
| Önek | Referans |
|---|---|
| A- | Android hata kimliği |
| KK- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
Revizyonlar
- 03 Ekim 2016: Bülten yayınlandı.
- 04 Ekim 2016: Bülten, CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695 ve CVE-2016-6696 için AOSP bağlantılarını ve güncelleme özelliklerini içerecek şekilde revize edildi.