Yayınlanma tarihi: 5 Aralık 2016 | Güncellenme tarihi: 21 Aralık 2016
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenle birlikte, kablosuz (OTA) güncelleme aracılığıyla Google cihazlarına bir güvenlik güncellemesi yayınladık. Google cihaz donanım yazılımı görüntüleri de Google geliştirici sitesinde yayınlandı. 05 Aralık 2016 veya sonraki güvenlik yaması düzeyleri bu sorunların tümünü giderir. Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programına bakın.
İş ortakları, bültende açıklanan sorunlar hakkında 7 Kasım 2016'da veya daha önce bilgilendirildi. Bu sorunların kaynak kodundaki düzeltmeleri Android Açık Kaynak Projesi (AOSP) deposunda yayınlandı ve bu bültenden bağlantısı sağlandı. Bu bülten, AOSP dışındaki yamalar için bağlantılar da içerir.
Bu sorunlardan en ciddi olanı, cihaza özgü koddaki kritik güvenlik açıklarıdır. Bu açıklar, çekirdek bağlamında keyfi kod yürütmeyi etkinleştirebilir ve yerel kalıcı cihaz güvenliği ihlali olasılığına yol açabilir. Bu durumda, cihazı onarmak için işletim sisteminin yeniden yanıp sönmesi gerekebilir. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android platformunun güvenliğini artıran Android güvenlik platformu korumaları ve SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmet çözümleri bölümüne bakın.
Tüm müşterilerimizi, cihazlarındaki bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sunmak için iki güvenlik yaması düzeyi dizesi içerir. Daha fazla bilgi için Sık sorulan sorular ve yanıtlar bölümüne göz atın:
- 2016-12-01: Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik yaması düzeyi dizesi, 01.12.2016 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- 2016-12-05: Güvenlik yaması düzeyi dizesinin tamamı. Bu güvenlik yaması düzeyi dizesi, 01.12.2016 ve 05.12.2016 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- Desteklenen Google cihazları, 05 Aralık 2016 güvenlik yaması düzeyini içeren tek bir kablosuz güncelleme alacak.
Android ve Google hizmetlerinin azaltılması
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler sayesinde Android'deki birçok sorundan yararlanmak daha zor hale geliyor. Tüm kullanıcıların mümkün olduğunda Android'in en son sürümüne güncelleme yapmalarını öneririz.
- Android Güvenlik Ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar hakkında uyarmak için tasarlanmış Uygulamaları Doğrula ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Uygulama Doğrulama, Google Mobil Hizmetleri'nin yüklü olduğu cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır ancak Uygulamaları Doğrula, köklendirme uygulaması yüklemeye çalışan kullanıcıları uyarır. Ayrıca Uygulama Doğrulama, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen zararlı uygulamaları tespit edip yüklemesini engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulama Doğrulama, kullanıcıyı bilgilendirir ve tespit edilen uygulamayı kaldırmayı dener.
- Google Hangouts ve Messenger uygulamaları, uygun olduğunda medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Alibaba Mobile Security Group'dan Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang ve Yang Song: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785
- Chi Zhang, Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-6789, CVE-2016-6790
- Christian Seel: CVE-2016-6769
- Google'dan David Benjamin ve Kenny Root: CVE-2016-6767
- Tencent'ten KeenLab'ın (@keen_lab) Di Shen (@returnsme): CVE-2016-6776, CVE-2016-6787
- MS509Team'den En He (@heeeeen4x): CVE-2016-6763
- Gengjia Chen (@chengjia4574), pjf of IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6779, CVE-2016-6778, CVE-2016-8401, CVE-2016-8402, CVE-2016-8403, CVE-2016-8409, CVE-2016-8408, CVE-2016-8404
- Jianqiang Zhao (@jianqiangzhao) ve Qihoo 360 Technology Co. Ltd.'nin IceSword Lab'den pjf: CVE-2016-6788, CVE-2016-6781, CVE-2016-6782, CVE-2016-8396
- Lubo Zhang, Tong Lin, Yuan-Tsung Lo, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
- Project Zero'nun Markasını İşaretle: CVE-2016-6772
- Michał Bednarski: CVE-2016-6770, CVE-2016-6774
- Mingjian Zhou (@Mingjian_Zhou), Chi Zhang, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-6760
- Mingjian Zhou (@Mingjian_Zhou), Hanxiang Wen, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-6759
- Tesla Motors Ürün Güvenliği Ekibi'nden Nathan Crandall (@natecray): CVE-2016-6915, CVE-2016-6916, CVE-2016-6917
- Nightwatch Cybersecurity Research (@nightwatchcyber): CVE-2016-5341
- Baidu X-Lab'den Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬): CVE-2016-6755, CVE-2016-6756
- Trend Micro'dan Peter Pi (@heisecode): CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
- Qidan He (何淇丹) (@flanker_hqd) of KeenLab, Tencent (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
- Qidan He (何淇丹) (@flanker_hqd) ve Marco Grassi (@marcograss) of KeenLab, Tencent (腾讯科恩实验室): CVE-2016-6768
- Richard Shupak: CVE-2016-5341
- IBM X-Force Research'ten Sagi Kedmi: CVE-2016-8393, CVE-2016-8394
- Trend Micro Inc. Mobil Tehdit Araştırma Ekibi'nden Seven Shen (@lingtongshen): CVE-2016-6757
- Alibaba Inc.'den Weichao Sun (@sunblate): CVE-2016-6773
- Wenke Dou, Chi Zhang, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-6765
- Trend Micro Inc.'nin Mobil Tehdit Yanıt Ekibi'nden Wish Wu (@wish_wu) (吴潍浠): CVE-2016-6704
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
- Yuan-Tsung Lo, Xiaodong Wang, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-6777
- Tencent Güvenlik Platformu Departmanı'ndan Yuxiang Li: CVE-2016-6771
- Qihoo 360 Technology Co. Ltd. Chengdu Güvenlik Ekibi'nden Zhe Jin (金哲): CVE-2016-6764, CVE-2016-6766
- Qihoo 360 Technology Co. Ltd. Chengdu Güvenlik Tepki Merkezi'nden Zinuo Han: CVE-2016-6762
Bu güvenlik bültenine katkıda bulunan Bottle Tech'ten MengLuo Gou (@idhyt3r), Yong Wang (王勇) (@ThomasKing2014) ve Google'dan Zubin Mithra'ya da teşekkür ederiz.
01.12.2016 güvenlik yaması düzeyi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 01.12.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (geçerli olduğunda) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek referanslar hata kimliğinin ardından gelen sayılara bağlanır.
CURL/LIBCURL'da uzaktan kod yürütme güvenlik açığı
Tabloda, CURL ve LIBCURL kitaplıklarını etkileyen güvenlik açıkları yer alır. En ciddi sorun, sahte sertifika kullanan bir ortadaki adam saldırganının ayrıcalıklı bir işlem bağlamında keyfi kod yürütmesine olanak tanımasıdır. Saldırganın sahte bir sertifikaya ihtiyacı olması nedeniyle bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-5419 | A-31271247 | Yüksek | Tümü | 7,0 | 3 Ağustos 2016 |
| CVE-2016-5420 | A-31271247 | Yüksek | Tümü | 7,0 | 3 Ağustos 2016 |
| CVE-2016-5421 | A-31271247 | Yüksek | Tümü | 7,0 | 3 Ağustos 2016 |
libziparchive'ta ayrıcalık yükseltme güvenlik açığı
libziparchive kitaplığındaki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında istediği kodu çalıştırmasına olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen gelişmiş özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6762 | A-31251826 [2] | Yüksek | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 Ağustos 2016 |
Telefon hizmetinde hizmet reddi güvenlik açığı
Telefon uygulamasındaki hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın özel olarak hazırlanmış bir dosyayı kullanarak cihazın donmasına veya yeniden başlatılmasına neden olmasına olanak tanıyabilir. Bu sorun, yerel kalıcı hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6763 | A-31530456 | Yüksek | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 Eylül 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki hizmet reddi güvenlik açığı, saldırganların özel olarak hazırlanmış bir dosyayı kullanarak cihazın donmasına veya yeniden başlatılmasına neden olmasına olanak tanıyabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6766 | A-31318219 | Yüksek | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 Eylül 2016 |
| CVE-2016-6765 | A-31449945 | Yüksek | Tümü | 4.4.4, 5.0.2, 5.1.1, 7.0 | 13 Eylül 2016 |
| CVE-2016-6764 | A-31681434 | Yüksek | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 22 Eylül 2016 |
| CVE-2016-6767 | A-31833604 | Yüksek | Yok* | 4.4.4 | Yalnızca Google |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Framesequence kitaplığında uzaktan kod yürütme güvenlik açığı
Framesequence kitaplığındaki uzaktan kod yürütme güvenlik açığı, saldırganların özel olarak hazırlanmış bir dosyayı kullanarak ayrıcalıksız bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, Framesequence kitaplığını kullanan bir uygulamada uzaktan kod çalıştırma olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6768 | A-31631842 | Yüksek | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 Eylül 2016 |
Smart Lock'ta ayrıcalık yükseltme güvenlik açığı
Smart Lock'ta ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı kullanıcının PIN olmadan Smart Lock ayarlarına erişmesine olanak tanıyabilir. Bu sorun, önce kullanıcının eriştiği son ayarlar bölmesi Smart Lock olan kilidi açık bir cihaza fiziksel erişim gerektirdiği için Orta olarak derecelendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6769 | A-29055171 | Orta seviye | Yok* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 Mayıs 2016 |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş olan desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Framework API'lerinde ayrıcalık yükseltme güvenlik açığı
Framework API'de ayrıcalık yükseltme güvenlik açığı, yerel bir zararlı uygulamanın erişim düzeyinin ötesindeki sistem işlevlerine erişmesine olanak tanıyabilir. Bu sorun, kısıtlanmış bir işlemdeki kısıtlamaların yerel olarak atlatılması olduğu için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6770 | A-30202228 | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 Temmuz 2016 |
Telefon uygulamasında ayrıcalık yükseltme güvenlik açığı
Telephony'de ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın erişim düzeyinin üzerindeki sistem işlevlerine erişmesine olanak tanıyabilir. Bu sorun, kısıtlanmış bir işlemdeki kısıtlamaların yerel olarak atlatılması olduğu için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6771 | A-31566390 | Orta seviye | Tümü | 6.0, 6.0.1, 7.0 | 17 Eylül 2016 |
Kablosuz ağda ayrıcalık yükseltme güvenlik açığı
Wi-Fi'de ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6772 | A-31856351 [2] | Orta seviye | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 Eylül 2016 |
Mediaserver'da bilgi ifşa güvenlik açığı
Mediaserver'da bulunan bir bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. İzinsiz olarak hassas verilere erişmek için kullanılabileceğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6773 | A-30481714 [2] | Orta seviye | Tümü | 6.0, 6.0.1, 7.0 | 27 Temmuz 2016 |
Paket Yöneticisi'nde bilgi ifşa güvenlik açığı
Paket Yöneticisi'ndeki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın uygulama verilerini diğer uygulamalardan ayıran işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için Orta düzey olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-6774 | A-31251489 | Orta seviye | Tümü | 7,0 | 29 Ağustos 2016 |
05.12.2016 güvenlik yaması düzeyi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 05.12.2016 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (geçerli olduğunda) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek referanslar hata kimliğinin ardından gelen sayılara bağlanır.
Çekirdek bellek alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek bellek alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-4794 | A-31596597 Yukarı yönlü çekirdek [2] |
Kritik (Critical) | Pixel C, Pixel, Pixel XL | 17 Nisan 2016 |
| CVE-2016-5195 | A-32141528 Yukarı yönlü çekirdek [2] |
Kritik (Critical) | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 12 Ekim 2016 |
NVIDIA GPU sürücüsünde yetki yükseltme güvenlik açığı
NVIDIA GPU sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6775 | A-31222873* N-CVE-2016-6775 |
Kritik (Critical) | Nexus 9 | 25 Ağustos 2016 |
| CVE-2016-6776 | A-31680980* N-CVE-2016-6776 |
Kritik (Critical) | Nexus 9 | 22 Eylül 2016 |
| CVE-2016-6777 | A-31910462* N-CVE-2016-6777 |
Kritik (Critical) | Nexus 9 | 3 Ekim 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Çekirdekte ayrıcalık yükseltme güvenlik açığı
Çekirdekteki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-8966 | A-31435731 Yukarı yönlü çekirdek |
Kritik (Critical) | Yok* | 10 Eylül 2016 |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş olan desteklenen Google cihazları bu güvenlik açığından etkilenmez.
NVIDIA video sürücüsünde ayrıcalık yükseltme güvenlik açığı
NVIDIA video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6915 | A-31471161*
N-CVE-2016-6915 |
Kritik (Critical) | Nexus 9 | 13 Eylül 2016 |
| CVE-2016-6916 | A-32072350*
N-CVE-2016-6916 |
Kritik (Critical) | Nexus 9, Pixel C | 13 Eylül 2016 |
| CVE-2016-6917 | A-32072253*
N-CVE-2016-6917 |
Kritik (Critical) | Nexus 9 | 13 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Çekirdek ION sürücüsünde ayrıcalık yükseltme güvenlik açığı
Çekirdek ION sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-9120 | A-31568617 Upstream çekirdek |
Kritik (Critical) | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player | 16 Eylül 2016 |
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki güvenlik açıkları Qualcomm bileşenlerini etkiler ve Qualcomm AMSS Kasım 2015 güvenlik bülteninde daha ayrıntılı olarak açıklanmıştır.
| CVE | Referanslar | Önem derecesi* | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8411 | A-31805216** | Kritik (Critical) | Nexus 6, Nexus 6P, Android One | Qualcomm'un dahili |
* Bu güvenlik açıklarının önem derecesi tedarikçi firma tarafından belirlenmiştir.
** Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-4014 | A-31252187 Yukarı yönlü çekirdek |
Yüksek | Nexus 6, Nexus Player | 10 Haziran 2014 |
Çekirdekte ayrıcalık yükseltme güvenlik açığı
Çekirdekteki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, önce ayrı bir güvenlik açığının kullanılması gerektiğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-8967 | A-31703084 Upstream çekirdek |
Yüksek | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL | 8 Ocak 2015 |
HTC ses kod çözücü sürücüsünde ayrıcalık yükseltme güvenlik açığı
HTC ses codec sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6778 | A-31384646* | Yüksek | Nexus 9 | 25 Şubat 2016 |
| CVE-2016-6779 | A-31386004* | Yüksek | Nexus 9 | 25 Şubat 2016 |
| CVE-2016-6780 | A-31251496* | Yüksek | Nexus 9 | 30 Ağustos 2016 |
* Bu sorunun düzeltmesi herkese açık olarak yayınlanmamıştır. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
MediaTek sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6492 | A-28175122 MT-ALPS02696413 |
Yüksek | Yok* | 11 Nisan 2016 |
| CVE-2016-6781 | A-31095175 MT-ALPS02943455 |
Yüksek | Yok* | 22 Ağustos 2016 |
| CVE-2016-6782 | A-31224389 MT-ALPS02943506 |
Yüksek | Yok* | 24 Ağustos 2016 |
| CVE-2016-6783 | A-31350044 MT-ALPS02943437 |
Yüksek | Yok* | 6 Eylül 2016 |
| CVE-2016-6784 | A-31350755 MT-ALPS02961424 |
Yüksek | Yok* | 6 Eylül 2016 |
| CVE-2016-6785 | A-31748056 MT-ALPS02961400 |
Yüksek | Yok* | 25 Eylül 2016 |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Qualcomm medya codec'lerinde ayrıcalık yükseltme güvenlik açığı
Qualcomm medya codec'lerinde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek düzeyli özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6761 | A-29421682*
QC-CR#1055792 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 16 Haziran 2016 |
| CVE-2016-6760 | A-29617572*
QC-CR#1055783 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 23 Haziran 2016 |
| CVE-2016-6759 | A-29982686*
QC-CR#1055766 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 4 Temmuz 2016 |
| CVE-2016-6758 | A-30148882*
QC-CR#1071731 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 13 Temmuz 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Qualcomm kamera sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm kamera sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6755 | A-30740545 QC-CR#1065916 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 3 Ağustos 2016 |
Çekirdek performansı alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek performansı alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6786 | A-30955111 Yukarı yönlü çekirdek | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 Ağustos 2016 |
| CVE-2016-6787 | A-31095224 Yukarı yönlü çekirdek | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 22 Ağustos 2016 |
MediaTek I2C sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek I2C sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6788 | A-31224428 MT-ALPS02943467 |
Yüksek | Yok* | 24 Ağustos 2016 |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş olan desteklenen Google cihazları bu güvenlik açığından etkilenmez.
NVIDIA libomx kitaplığında ayrıcalık yükseltme güvenlik açığı
NVIDIA libomx kitaplığındaki (libnvomx) ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlemin bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen gelişmiş özelliklere yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6789 | A-31251973*
N-CVE-2016-6789 |
Yüksek | Pixel C | 29 Ağustos 2016 |
| CVE-2016-6790 | A-31251628*
N-CVE-2016-6790 |
Yüksek | Pixel C | 28 Ağustos 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Qualcomm ses sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm ses sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6791 | A-31252384 QC-CR#1071809 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 Ağustos 2016 |
| CVE-2016-8391 | A-31253255 QC-CR#1072166 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 Ağustos 2016 |
| CVE-2016-8392 | A-31385862 QC-CR#1073136 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 8 Eylül 2016 |
Çekirdek güvenlik alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek güvenlik alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-7872 | A-31253168 Upstream çekirdek |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 31 Ağustos 2016 |
Synaptics dokunmatik ekran sürücüsünde yetki yükseltme güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8393 | A-31911920* | Yüksek | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 8 Eylül 2016 |
| CVE-2016-8394 | A-31913197* | Yüksek | Nexus 9, Android One | 8 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Broadcom kablosuz ağ sürücüsünde ayrıcalık yükseltme güvenlik açığı
Broadcom kablosuz sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9909 | A-31676542 B-RB#26684 |
Yüksek | Yok* | 21 Eylül 2016 |
| CVE-2014-9910 | A-31746399 B-RB#26710 |
Yüksek | Yok* | 26 Eylül 2016 |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş olan desteklenen Google cihazları bu güvenlik açığından etkilenmez.
MediaTek video sürücüsünde bilgi ifşa etme güvenlik açığı
MediaTek video sürücüsündeki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8396 | A-31249105 | Yüksek | Yok* | 26 Ağustos 2016 |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş desteklenen Google cihazları bu güvenlik açığından etkilenmez.
NVIDIA video sürücüsünde bilgi ifşa güvenlik açığı
NVIDIA video sürücüsündeki bilgi açıklaması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8397 | A-31385953* N-CVE-2016-8397 |
Yüksek | Nexus 9 | 8 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
GPS'de hizmet reddi güvenlik açığı
Qualcomm GPS bileşenindeki hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın donmasına veya yeniden başlatılmasına neden olmasına olanak tanıyabilir. Bu sorun, geçici süreli uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-5341 | A-31470303* | Yüksek | Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 21 Haziran 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
NVIDIA kamera sürücüsünde hizmet reddi güvenlik açığı
NVIDIA kamera sürücüsündeki hizmet reddi güvenlik açığı, saldırganın yerel olarak kalıcı bir hizmet reddi saldırısı yapmasına olanak tanıyabilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yanıp sönmesi gerekebilir. Bu sorun, yerel kalıcı hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8395 | A-31403040*
N-CVE-2016-8395 |
Yüksek | Pixel C | 9 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Çekirdek ağ alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek ağ iletişimi alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdeğin bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği ve mevcut derleyici optimizasyonları, güvenlik açığı olan koda erişimi kısıtladığı için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8399 | A-31349935* | Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 5 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Qualcomm bileşenlerinde bilgi ifşa etme güvenlik açığı
Kamera sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerindeki bilgi açığa çıkarma güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için Orta düzey olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-6756 | A-29464815 QC-CR#1042068 [2] |
Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 17 Haziran 2016 |
| CVE-2016-6757 | A-30148242 QC-CR#1052821 |
Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 13 Temmuz 2016 |
NVIDIA librm kitaplığında bilginin açıklanmasına yol açan güvenlik açığı
NVIDIA librm kitaplığındaki (libnvrm) bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, izinsiz olarak hassas verilere erişmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8400 | A-31251599*
N-CVE-2016-8400 |
Orta seviye | Pixel C | 29 Ağustos 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Çekirdek bileşenlerinde bilgi ifşa etme güvenlik açığı
ION alt sistemi, Binder, USB sürücüsü ve ağ alt sistemi gibi çekirdek bileşenlerindeki bilgi açığa çıkarma güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8401 | A-31494725* | Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 Eylül 2016 |
| CVE-2016-8402 | A-31495231* | Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 Eylül 2016 |
| CVE-2016-8403 | A-31495348* | Orta seviye | Nexus 9 | 13 Eylül 2016 |
| CVE-2016-8404 | A-31496950* | Orta seviye | Nexus 9 | 13 Eylül 2016 |
| CVE-2016-8405 | A-31651010* | Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 21 Eylül 2016 |
| CVE-2016-8406 | A-31796940* | Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 27 Eylül 2016 |
| CVE-2016-8407 | A-31802656* | Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
NVIDIA video sürücüsünde bilgi ifşa güvenlik açığı
NVIDIA video sürücüsündeki bilgi açıklaması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8408 | A-31496571*
N-CVE-2016-8408 |
Orta seviye | Nexus 9 | 13 Eylül 2016 |
| CVE-2016-8409 | A-31495687*
N-CVE-2016-8409 |
Orta seviye | Nexus 9 | 13 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinde bulunan Google cihazlarına yönelik en son ikili sürücülerde yer alır.
Qualcomm ses sürücüsünde bilgi ifşa güvenlik açığı
Qualcomm ses sürücüsündeki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8410 | A-31498403 QC-CR#987010 |
Orta seviye | Nexus 5X, Nexus 6, Nexus 6P, Android One | Yalnızca Google |
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek yaygın sorular yanıtlanmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programındaki talimatları okuyun.
- 01.12.2016 veya sonraki güvenlik yaması düzeyleri, 01.12.2016 güvenlik yaması düzeyiyle ilişkili tüm sorunları giderir.
- 05.12.2016 veya sonraki güvenlik yaması düzeyleri, 05.12.2016 güvenlik yaması düzeyi ve önceki tüm yamalar düzeyleriyle ilişkili tüm sorunları giderir.
Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır:
- [ro.build.version.security_patch]:[2016-12-01]
- [ro.build.version.security_patch]:[2016-12-05]
2. Bu bültenin neden iki güvenlik yaması düzeyi var?
Bu bülten iki güvenlik yaması düzeyine sahiptir. Böylece Android iş ortakları, tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliğine sahip olur. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmesi ve en son güvenlik yaması düzeyini kullanması önerilir.
- 1 Aralık 2016 güvenlik yaması düzeyini kullanan cihazlar, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir.
- 5 Aralık 2016 veya daha yeni bir güvenlik yaması düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerindeki tüm geçerli yamaları içermelidir.
İş ortaklarının, ele aldıkları tüm sorunların düzeltmelerini tek bir güncellemede toplamalarının önerilir.
3. Her sorundan hangi Google cihazlarının etkilendiğini nasıl öğrenebilirim?
2016-12-01 ve 2016-12-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda her sorun için güncellenen etkilenen Google cihazlarının kapsamını gösteren bir Güncellenen Google cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Google cihazları: Bir sorun Tüm ve Pixel cihazları etkiliyorsa tablonun Güncellenen Google cihazları sütununda "Tüm" ifadesi yer alır. "Tümü", aşağıdaki desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ve Pixel XL.
- Bazı Google cihazları: Bir sorun tüm Google cihazlarını etkilemiyorsa etkilenen Google cihazları Güncellenen Google cihazları sütununda listelenir.
- Google cihaz yok: Android 7.0 çalıştıran hiçbir Google cihazı sorundan etkilenmiyorsa tablonun Güncellenen Google cihazları sütununda "Yok" ifadesi yer alır.
4. Referanslar sütunundaki girişler neyle eşlenir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir ön ek içerebilir. Bu önekler aşağıdaki şekilde eşlenir:
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| QC- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
Düzeltmeler
- 5 Aralık 2016: Bülten yayınlandı.
- 7 Aralık 2016: Bülten, AOSP bağlantılarını içerecek şekilde düzeltildi ve CVE-2016-6915, CVE-2016-6916 ve CVE-2016-6917 için ilişkilendirme güncellendi.
- 21 Aralık 2016: CVE-2016-8411 açıklamasındaki ve Sık Sorulan Sorular ve Yanıtlar bölümündeki yazım hataları düzeltildi.