Android Güvenlik Bülteni—Aralık 2016

Yayınlanma Tarihi 05 Aralık 2016 | 21 Aralık 2016'da güncellendi

Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazının donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 05 Aralık 2016 veya sonraki güvenlik düzeltme eki düzeyleri bu sorunların tümüne yöneliktir. Bir cihazın güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Pixel ve Nexus güncelleme planına bakın.

Bültende açıklanan hususlar 07 Kasım 2016 veya öncesinde ortaklara bildirildi. Bu sorunlara ilişkin kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlandı ve bu bültenden bağlantı verildi. Bu bülten aynı zamanda AOSP dışındaki yamalara bağlantılar da içermektedir.

Bu sorunlardan en ciddi olanı, çekirdek bağlamında rastgele kod yürütülmesine olanak tanıyan, aygıta özgü koddaki Kritik güvenlik açıklarıdır; yerel kalıcı aygıt güvenliği ihlali olasılığına yol açarak aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilir. . Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltımları bölümüne bakın.

Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

• Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi bulunmaktadır. Ek bilgi için Yaygın sorular ve yanıtlara bakın:
  • 2016-12-01 : Kısmi güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2016-12-01 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizeleri) giderildiğini gösterir.
  • 2016-12-05 : Tam güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2016-12-01 ve 2016-12-05 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
• Desteklenen Google cihazları, 05 Aralık 2016 güvenlik yaması düzeyine sahip tek bir OTA güncellemesi alacaktır.

Android ve Google hizmet azaltımları

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

• Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
• Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetlerine sahip cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
• Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

• Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang ve Alibaba Mobile Security Group'tan Yang Song: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785
• Chi Zhang , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-6789, CVE-2016-6790
• Christian Seel: CVE-2016-6769
• Google'dan David Benjamin ve Kenny Root: CVE-2016-6767
• KeenLab'dan Di Shen ( @returnsme ) ( @keen_lab ), Tencent: CVE-2016-6776, CVE-2016-6787
• MS509Team'den En He ( @heeeeen4x ): CVE-2016-6763
• Gengjia Chen ( @chengjia4574 ), IceSword Lab pjf'si , Qihoo 360 Technology Co. Ltd.: CVE-2016-6779, CVE-2016-6778, CVE-2016-8401, CVE-2016-8402, CVE-2016-8403, CVE-2016-8409, CVE-2016-8408, CVE-2016-8404
• Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab'den pjf , Qihoo 360 Technology Co. Ltd: CVE-2016-6788, CVE-2016-6781, CVE-2016-6782, CVE-2016-8396
• Lubo Zhang , Tong Lin , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
• Project Zero Marka Markası: CVE-2016-6772
• Michał Bednarski : CVE-2016-6770, CVE-2016-6774
• Mingjian Zhou ( @Mingjian_Zhou ), Chi Zhang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
• Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-6760
• Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-6759
• Tesla Motors Ürün Güvenliği Ekibinden Nathan Crandall ( @natecray ): CVE-2016-6915, CVE-2016-6916, CVE-2016-6917
• Nightwatch Siber Güvenlik Araştırması ( @nightwatchcyber ): CVE-2016-5341
• Baidu X-Lab'dan Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬): CVE-2016-6755, CVE-2016-6756
• Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
• KeenLab, Tencent'ten Qidan He (何淇丹) ( @flanker_hqd ) (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
• KeenLab, Tencent'ten (腾讯科恩实验室) Qidan He (何淇丹) ( @flanker_hqd ) ve Marco Grassi ( @marcograss ): CVE-2016-6768
• Richard Shupak: CVE-2016-5341
• IBM X-Force Research'ten Sagi Kedmi: CVE-2016-8393, CVE-2016-8394
• Mobil Tehdit Araştırma Ekibi'nden Seven Shen ( @lingtongshen ), Trend Micro Inc.: CVE-2016-6757
• Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-6773
• Wenke Dou , Chi Zhang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-6765
• Trend Micro Inc. Mobil Tehdit Müdahale Ekibi'nden Wish Wu ( @wish_wu ) (吴潍浠): CVE-2016-6704
• Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
• C0RE Ekibinden Yuan-Tsung Lo , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang: CVE-2016-6777
• Tencent Güvenlik Platformu Departmanından Yuxiang Li: CVE-2016-6771
• Chengdu Güvenlik Müdahale Merkezi'nden Zhe Jin (金哲), Qihoo 360 Technology Co. Ltd.: CVE-2016-6764, CVE-2016-6766
• Qihoo 360 Technology Co. Ltd.'nin Chengdu Güvenlik Müdahale Merkezi'nden Zinuo Han : CVE-2016-6762

Ayrıca Bottle Tech'ten MengLuo Gou'ya ( @idhyt3r ), Yong Wang'a (王勇) ( @ThomasKing2014 ) ve Google'dan Zubin Mithra'ya bu güvenlik bültenine katkılarından dolayı teşekkür ederiz.

2016-12-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-12-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

CURL/LIBCURL'de uzaktan kod yürütme güvenlik açığı

Tablo, CURL ve LIBCURL kitaplıklarını etkileyen güvenlik açıklarını içermektedir. En ciddi sorun, sahte bir sertifika kullanan ortadaki adam saldırganının ayrıcalıklı bir süreç bağlamında rastgele kod yürütmesine olanak verebilir. Saldırganın sahte bir sertifikaya ihtiyaç duyması nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

Libziparchive'de ayrıcalık yükselmesi güvenlik açığı

Libziparchive kitaplığındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

Telefon hizmetlerinde hizmet reddi güvenlik açığı

Telefon hizmetindeki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Yerel kalıcı hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirildi.

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Framesequence kitaplığında Uzaktan Kod Yürütme güvenlik açığı

Framesequence kitaplığındaki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu sorun, Framesequence kitaplığını kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

Smart Lock'ta ayrıcalık yükselmesi güvenlik açığı

Smart Lock'taki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü niyetli bir kullanıcının Smart Lock ayarlarına PIN olmadan erişmesine olanak sağlayabilir. Bu sorun, öncelikle Smart Lock'un kullanıcı tarafından erişilen son ayarlar bölmesi olduğu kilitsiz bir cihaza fiziksel erişim gerektirdiğinden Orta olarak derecelendirilmiştir.

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı

Çerçeve API'sindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, erişim düzeyinin ötesindeki sistem işlevlerine erişmesine olanak tanıyabilir. Bu sorun, kısıtlı bir süreçteki kısıtlamaların yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.

Telefon hizmetlerinde ayrıcalık yükselmesi güvenlik açığı

Telefondaki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi erişim düzeyinin ötesindeki sistem işlevlerine erişmesine olanak sağlayabilir. Bu sorun, kısıtlı bir süreçteki kısıtlamaların yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.

Wi-Fi'de ayrıcalık yükselmesi güvenlik açığı

Wi-Fi'de ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

Mediaserver'da bilgilerin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

Paket Yöneticisi'nde bilgilerin açığa çıkması güvenlik açığı

Paket Yöneticisindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

2016-12-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-12-05 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Çekirdek bellek alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek bellek alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Çekirdekte ayrıcalık yükselmesi güvenlik açığı

Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Çekirdek ION sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ION sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki güvenlik açıkları Qualcomm bileşenlerini etkiler ve Qualcomm AMSS Kasım 2015 güvenlik bülteninde daha ayrıntılı olarak açıklanmaktadır.

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.

** Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

Çekirdekte ayrıcalık yükselmesi güvenlik açığı

Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrı bir güvenlik açığından yararlanılmasını gerektirdiğinden Yüksek olarak derecelendirilmiştir.

HTC ses codec sürücüsünde ayrıcalık yükselmesi güvenlik açığı

HTC ses codec sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

MediaTek sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm medya codec bileşenlerinde ayrıcalık yükselmesi güvenlik açığı

Qualcomm medya codec bileşenlerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir süreç bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

MediaTek I2C sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek I2C sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA libomx kütüphanesinde ayrıcalık yükselmesi güvenlik açığı

NVIDIA libomx kütüphanesindeki (libnvomx) ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

Çekirdek güvenlik alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek güvenlik alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

MediaTek video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

MediaTek video sürücüsündeki bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

NVIDIA video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

GPS'te hizmet reddi güvenlik açığı

Qualcomm GPS bileşenindeki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak sağlayabilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

NVIDIA kamera sürücüsündeki hizmet reddi güvenlik açığı

NVIDIA kamera sürücüsündeki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı bir hizmet reddine neden olmasına olanak sağlayabilir. Yerel kalıcı hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirildi.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağı alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden ve mevcut derleyici iyileştirmeleri güvenlik açığı bulunan koda erişimi kısıtladığından Orta olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Qualcomm bileşenlerinde bilgilerin açığa çıkması güvenlik açığı

Kamera sürücüsü ve video sürücüsü de dahil olmak üzere Qualcomm bileşenlerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

NVIDIA librm kitaplığında bilgilerin açığa çıkması güvenlik açığı

NVIDIA librm kitaplığındaki (libnvrm) bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Çekirdek bileşenlerinde bilginin açığa çıkması güvenlik açığı

ION alt sistemi, Binder, USB sürücüsü ve ağ alt sistemi dahil olmak üzere çekirdek bileşenlerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

NVIDIA video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

NVIDIA video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Qualcomm Sound Driver'da Bilgi Açıklama Güvenlik Açığı

Qualcomm Sound Driver'daki bir bilgi açıklaması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin seviyelerinin dışındaki verilere erişmesini sağlayabilir. Bu sorun ılımlı olarak derecelendirilmiştir, çünkü önce ayrıcalıklı bir süreçten ödün verilmesini gerektirir.

Yaygın sorular ve cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programındaki talimatları okuyun.

• 2016-12-01 veya daha sonraki güvenlik yama seviyeleri, 2016-12-01 güvenlik yama seviyesiyle ilişkili tüm sorunları ele alıyor.
• 2016-12-05 veya daha sonraki güvenlik yama seviyeleri, 2016-12-05 güvenlik yama seviyesi ve önceki tüm yama seviyeleriyle ilişkili tüm sorunları ele alıyor.

Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır:

• [ro.build.version.security_patch]: [2016-12-01]
• [ro.build.version.security_patch]: [2016-12-05]

2. Bu bültende neden iki güvenlik yaması düzeyi var?

Bu bültenin iki güvenlik düzeltme eki düzeyi vardır; böylece Android iş ortakları, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahip olur. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyini kullanmaları önerilir.

• 1 Aralık 2016 Güvenlik Yaması seviyesini kullanan cihazlar, bu güvenlik yama seviyesiyle ilişkili tüm sorunları ve önceki güvenlik bültenlerinde bildirilen tüm sorunlar için düzeltmeleri içermelidir.
• 5 Aralık 2016 veya daha yeni güvenlik yaması seviyesini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerine geçerli tüm yamaları içermelidir.

İş ortaklarının, ele aldıkları tüm sorunlara yönelik düzeltmeleri tek bir güncellemede toplamaları önerilir.

3. Hangi Google cihazlarının her sorundan etkilendiğini nasıl belirleyebilirim?

2016-12-01 ve 2016-12-05 güvenlik açığı detayları bölümlerinde, her tabloda her sayı için güncellenen etkilenen Google cihazlarının aralığını kapsayan güncellenmiş bir Google Cihaz sütunu bulunur. Bu sütunun birkaç seçeneği var:

• Tüm Google Cihazları : Bir sorun tüm ve Pixel cihazlarını etkiliyorsa, tablo güncellenmiş Google Cihazlar sütununda "hepsi" olacaktır. "All" aşağıdaki desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Oyuncu, Pixel C, Pixel ve Pixel XL.
• Bazı Google Cihazları : Bir sorun tüm Google cihazlarını etkilemezse, etkilenen Google cihazları güncellenmiş Google Cihazlar sütununda listelenir.
• Google Cihazları Yok : Android 7.0 çalıştıran Google cihazları sorundan etkilenmiyorsa, tabloda güncellenmiş Google Cihazlar sütununda "Yok" olacaktır.

4. Referanslar sütunundaki girişler neye göre?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler aşağıdaki gibi eşleşir:

Revizyonlar

• 05 Aralık 2016: Bülten yayınlandı.
• 07 Aralık 2016: Bülten, CVE-2016-6915, CVE-2016-6916 ve CVE-2016-6917 için AOSP bağlantıları ve güncellenmiş ilişkilendirme içerecek şekilde revize edildi.
• 21 Aralık 2016: CVE-2016-8411 açıklamasında düzeltilmiş yazım hataları ve ortak sorular ve cevaplar.