Yayınlanma tarihi: 3 Ocak 2017 | Güncelleme tarihi: 2 Şubat 2017
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenle birlikte, kablosuz (OTA) güncelleme aracılığıyla Google cihazlarına bir güvenlik güncellemesi yayınladık. Google cihaz donanım yazılımı görüntüleri de Google geliştirici sitesinde yayınlandı. 5 Ocak 2017 veya sonraki güvenlik yaması düzeyleri bu sorunların tümünü giderir. Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programına bakın.
İş ortakları, bültende açıklanan sorunlar hakkında 5 Aralık 2016'da veya daha önce bilgilendirildi. Bu sorunların kaynak kodundaki düzeltmeleri Android Açık Kaynak Projesi (AOSP) deposunda yayınlandı ve bu bültenden bağlantısı sağlandı. Bu bülten, AOSP dışındaki yamalar için bağlantılar da içerir.
Bu sorunların en ciddisi, medya dosyaları işlenirken e-posta, web tarayıcısı ve MMS gibi birden fazla yöntemle etkilenen cihazda uzaktan kod çalıştırmayı etkinleştirebilecek kritik bir güvenlik açığıdır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Yeni bildirilen bu sorunların müşteriler tarafından aktif olarak istismar edildiğine dair bir bildirim almadık. Android platformunun güvenliğini artıran Android güvenlik platformu korumaları ve SafetyNet gibi hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmet çözümleri bölümüne bakın.
Tüm müşterilerimizi, cihazlarındaki bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sunmak için iki güvenlik yaması düzeyi dizesi içerir. Daha fazla bilgi için Sık sorulan sorular ve yanıtları bölümüne göz atın:
- 2017-01-01: Kısmi güvenlik yaması seviyesi dizesi. Bu güvenlik yaması düzeyi dizesi, 2017-01-01 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- 2017-01-05: Güvenlik yaması seviyesi dizesinin tamamı. Bu güvenlik yaması düzeyi dizesi, 2017-01-01 ve 2017-01-05 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- Desteklenen Google cihazlar, 05 Ocak 2017 güvenlik yaması düzeyini içeren tek bir kablosuz güncelleme alacak.
Güvenlik açığı özeti
Aşağıdaki tablolarda güvenlik açıklarının listesi, Genel Güvenlik Açıkları ve Riskler kimliği (CVE), değerlendirilen önem derecesi ve Google cihazlarının etkilenip etkilenmediği yer almaktadır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiye dayanır.
Android ve Google hizmetlerine yönelik çözümler
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılması olasılığını azaltır.
- Android platformunun yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorunun kötüye kullanımını zorlaştırmaktadır. Tüm kullanıcıların mümkün olduğunda Android'in en son sürümüne güncelleme yapmalarını öneririz.
- Android Güvenlik Ekibi, kullanıcıları potansiyel olarak zararlı uygulamalar hakkında uyarmak için tasarlanmış Uygulamaları Doğrulama ve SafetyNet ile kötüye kullanım olup olmadığını etkin bir şekilde izler. Uygulama Doğrulama, Google Mobil Hizmetleri'nin yüklü olduğu cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır ancak Uygulama Doğrulama, tespit edilen bir köklendirme uygulamasını yüklemeye çalışan kullanıcıları uyarır. Ayrıca Uygulama Doğrulama, ayrıcalık yükseltme güvenlik açıklarından yararlanan bilinen zararlı uygulamaları tespit edip yüklemesini engellemeye çalışır. Bu tür bir uygulama zaten yüklüyse Uygulama Doğrulama, kullanıcıyı bilgilendirir ve tespit edilen uygulamayı kaldırmaya çalışır.
- Google Hangouts ve Messenger uygulamaları, uygun olduğu durumlarda medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür ederiz
Katkılarından dolayı aşağıdaki araştırmacılara teşekkür ederiz:
- Alexandru Blanda: CVE-2017-0390
- Copperhead Security'ten Daniel Micay: CVE-2017-0397
- Tencent Xuanwu Lab'den Daxing Guo (@freener0): CVE-2017-0386
- derrek (@derrekr6): CVE-2017-0392
- Tencent'in KeenLab (@keen_lab) ekibinden Di Shen (@returnsme): CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
- UC Santa Barbara, Shellphish Grill Ekibi'nden donfos (Aravind Machiry): CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
- MS509Team'dan En He (@heeeeen4x): CVE-2017-0394
- Gengjia Chen (@chengjia4574) ve Qihoo 360 Technology Co. Ltd.'nin IceSword Lab'den pjf: CVE-2016-8464
- Google WebM Ekibi: CVE-2017-0393
- Qihoo 360 Technology Co. Ltd. Alpha Ekibi'nden Guang Gong (龚广) (@oldfresher): CVE-2017-0387
- Qihoo 360 Technology Co. Ltd. Alpha Ekibi'nden Hao Chen ve Guang Gong: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016-8465
- Jianqiang Zhao (@jianqiangzhao) ve Qihoo 360'taki IceSword Lab'den pjf: CVE-2016-8475
- Jon Sawyer (@jcase) ve Sean Beaupre (@firewaterdevs): CVE-2016-8462
- Jon Sawyer (@jcase), Sean Beaupre (@firewaterdevs) ve Ben Actis (@Ben_RA): CVE-2016-8461
- Mingjian Zhou (@Mingjian_Zhou), Yuqi Lu (@nikos233), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2017-0383
- Monk Avel: CVE-2017-0396, CVE-2017-0399
- Trend Micro'dan Peter Pi (@heisecode): CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016-8474
- Qidan He (何淇丹) (@flanker_hqd) of KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0382
- IBM Security X-Force'tan Roee Hay ve Michael Goberman: CVE-2016-8467
- Trend Micro Mobil Tehdit Araştırma Ekibi'nden Seven Shen (@lingtongshen): CVE-2016-8466
- Stephen Morrow: CVE-2017-0389
- Trend Micro Mobil Tehdit Araştırma Ekibi'nin V.E.O'su (@VYSEa): CVE-2017-0381
- Alibaba Inc.'den Weichao Sun (@sunblate): CVE-2017-0391
- Wenke Dou, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2017-0402, CVE-2017-0398
- Wenke Dou, Hanxiang Wen, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2017-0400
- Wenke Dou, Hongli Han, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2017-0384, CVE-2017-0385
- Wenke Dou, Yuqi Lu (@nikos233), Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2017-0401
- Yao Jun, Yuan-Tsung Lo, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-8431, CVE-2016-8432, CVE-2016-8435
- Yong Wang (王勇) (@ThomasKing2014) ve Alibaba Inc.'den Jun Cheng: CVE-2017-0404
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
- Yuan-Tsung Lo, Yanfeng Wang, Chiachih Wu (@chiachih_wu) ve C0RE Ekibi'nden Xuxian Jiang: CVE-2016-8430, CVE-2016-8482
- Tencent Güvenlik Platformu Departmanı'ndan Yuxiang Li (@Xbalien29): CVE-2017-0395
- Cheetah Mobile'ın Security Research Lab ekibinden Zhanpeng Zhao (行之) (@0xr0ot): CVE-2016-8451
Ayrıca aşağıdaki araştırmacılara bu bültene katkılarından dolayı teşekkür ederiz:
- Alibaba Mobil Güvenlik Grubu'ndan Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang ve Yang Song
- Trend Micro'dan Peter Pi (@heisecode)
- Google'dan Zubin Mithra
01.01.2017 güvenlik yaması seviyesi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 01.01.2017 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (geçerli olduğunda) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek referanslar hata kimliğinin ardından gelen sayılara bağlanır.
c-ares'te uzaktan kod yürütme güvenlik açığı
c-ares'teki uzaktan kod yürütme güvenlik açığı, özel olarak hazırlanmış bir istek kullanan bir saldırganın ayrıcalıklı olmayan bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2016-5180 | A-32205736 | Yüksek | Tümü | 7,0 | 29 Eylül 2016 |
Framesequence'te uzaktan kod yürütme güvenlik açığı
Framesequence kitaplığındaki uzaktan kod yürütme güvenlik açığı, saldırganların özel olarak hazırlanmış bir dosyayı kullanarak ayrıcalıksız bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, Framesequence kitaplığını kullanan bir uygulamada uzaktan kod çalıştırma olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0382 | A-32338390 | Yüksek | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 Ekim 2016 |
Çerçeve API'lerinde ayrıcalık yükseltme güvenlik açığı
Framework API'lerinde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0383 | A-31677614 | Yüksek | Tümü | 7.0, 7.1.1 | 21 Eylül 2016 |
Audioserver'da ayrıcalık yükseltme güvenlik açığı
Audioserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0384 | A-32095626 | Yüksek | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 Ekim 2016 |
| CVE-2017-0385 | A-32585400 | Yüksek | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 Ekim 2016 |
libnl'de ayrıcalık yükseltme güvenlik açığı
libnl kitaplığındaki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0386 | A-32255299 | Yüksek | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 Ekim 2016 |
Mediaserver'da ayrıcalık yükseltme güvenlik açığı
Mediaserver'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf uygulamaları tarafından erişilemeyen yüksek ayrıcalıklara yerel erişim elde etmek için kullanılabileceğinden yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0387 | A-32660278 | Yüksek | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 4 Kasım 2016 |
Harici Depolama Alanı Sağlayıcısında Bilgi Açıklama Zayıflığı
Harici Depolama Sağlayıcı'daki bilgi ifşa etme güvenlik açığı, yerel ikincil bir kullanıcının birincil kullanıcı tarafından takılan harici depolama SD kartındaki verileri okumasına olanak tanıyabilir. İzinsiz verilere erişmek için kullanılabileceğinden bu sorun Yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0388 | A-32523490 | Yüksek | Tümü | 6.0, 6.0.1, 7.0, 7.1.1 | Yalnızca Google |
Temel ağ bağlantısında hizmet reddi güvenlik açığı
Temel ağ bağlantısında hizmet reddi güvenlik açığı, uzaktaki bir saldırganın özel olarak hazırlanmış ağ paketini kullanarak cihazın donmasına veya yeniden başlatılmasına neden olmasına olanak tanıyabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0389 | A-31850211 [2] [3] | Yüksek | Tümü | 6.0, 6.0.1, 7.0, 7.1.1 | 20 Temmuz 2016 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın donmasına veya yeniden başlatılmasına neden olmak için özel olarak hazırlanmış bir dosya kullanmasına olanak tanıyabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0390 | A-31647370 | Yüksek | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 19 Eylül 2016 |
| CVE-2017-0391 | A-32322258 | Yüksek | Tümü | 6.0, 6.0.1, 7.0, 7.1.1 | 20 Ekim 2016 |
| CVE-2017-0392 | A-32577290 | Yüksek | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 29 Ekim 2016 |
| CVE-2017-0393 | A-30436808 | Yüksek | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Yalnızca Google |
Telefon hizmetinde hizmet reddi güvenlik açığı
Telefon uygulamasındaki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın donmasına veya yeniden başlatılmasına neden olmasına olanak tanıyabilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0394 | A-31752213 | Yüksek | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 Eylül 2016 |
Kişiler'de ayrıcalık yükseltme güvenlik açığı
Kişiler'de ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın gizlice kişi bilgileri oluşturmasına olanak tanıyabilir. Bu sorun, kullanıcı etkileşimi koşullarının yerel olarak atlatılması (normalde kullanıcının başlatması veya kullanıcı izni gerektiren işlevlere erişim) nedeniyle Orta düzey olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0395 | A-32219099 | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 Ekim 2016 |
Mediaserver'da bilgi ifşa etme güvenlik açığı
Mediaserver'da bulunan bir bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. İzinsiz olarak hassas verilere erişmek için kullanılabileceğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0381 | A-31607432 | Orta seviye | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 Eylül 2016 |
| CVE-2017-0396 | A-31781965 | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 27 Eylül 2016 |
| CVE-2017-0397 | A-32377688 | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 Ekim 2016 |
Audioserver'da bilgi ifşa etme güvenlik açığı
Audioserver'da bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. İzinsiz olarak hassas verilere erişmek için kullanılabileceğinden bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0398 | A-32438594 | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 Ekim 2016 |
| CVE-2017-0398 | A-32635664 | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 Ekim 2016 |
| CVE-2017-0398 | A-32624850 | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 Ekim 2016 |
| CVE-2017-0399 | A-32247948 [2] | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 Ekim 2016 |
| CVE-2017-0400 | A-32584034 [2] | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 Ekim 2016 |
| CVE-2017-0401 | A-32448258 | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 Ekim 2016 |
| CVE-2017-0402 | A-32436341 [2] | Orta seviye | Tümü | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 Ekim 2016 |
05.01.2017 güvenlik yaması seviyesi: Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 05.01.2017 yaması düzeyine uygulanan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Sorunun açıklaması, önem düzeyi gerekçesi ve CVE, ilişkili referanslar, önem düzeyi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (geçerli olduğunda) ve bildirilme tarihi içeren bir tablo bulunur. Mümkün olduğunda, sorunu gideren herkese açık değişikliği AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, ek referanslar hata kimliğinin ardından gelen sayılara bağlanır.
Çekirdek bellek alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek bellek alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-3288 | A-32460277 Yukarı yönlü çekirdek |
Kritik (Critical) | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 9 Temmuz 2015 |
Qualcomm bootloader'da ayrıcalık yükseltme güvenlik açığı
Qualcomm önyükleyicisindeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8422 | A-31471220 QC-CR#979426 |
Kritik (Critical) | Nexus 6, Nexus 6P, Pixel, Pixel XL | 22 Temmuz 2016 |
| CVE-2016-8423 | A-31399736 QC-CR#1000546 |
Kritik (Critical) | Nexus 6P, Pixel, Pixel XL | 24 Ağustos 2016 |
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek dosya sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2015-5706 | A-32289301 Yukarı yönlü çekirdek |
Kritik (Critical) | Yok* | 1 Ağustos 2016 |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş olan desteklenen Google cihazları bu güvenlik açığından etkilenmez.
NVIDIA GPU sürücüsünde yetki yükseltme güvenlik açığı
NVIDIA GPU sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8424 | A-31606947* N-CVE-2016-8424 |
Kritik (Critical) | Nexus 9 | 17 Eylül 2016 |
| CVE-2016-8425 | A-31797770* N-CVE-2016-8425 |
Kritik (Critical) | Nexus 9 | 28 Eylül 2016 |
| CVE-2016-8426 | A-31799206* N-CVE-2016-8426 |
Kritik (Critical) | Nexus 9 | 28 Eylül 2016 |
| CVE-2016-8482 | A-31799863* N-CVE-2016-8482 |
Kritik (Critical) | Nexus 9 | 28 Eylül 2016 |
| CVE-2016-8427 | A-31799885* N-CVE-2016-8427 |
Kritik (Critical) | Nexus 9 | 28 Eylül 2016 |
| CVE-2016-8428 | A-31993456* N-CVE-2016-8428 |
Kritik (Critical) | Nexus 9 | 6 Ekim 2016 |
| CVE-2016-8429 | A-32160775* N-CVE-2016-8429 |
Kritik (Critical) | Nexus 9 | 13 Ekim 2016 |
| CVE-2016-8430 | A-32225180* N-CVE-2016-8430 |
Kritik (Critical) | Nexus 9 | 17 Ekim 2016 |
| CVE-2016-8431 | A-32402179* N-CVE-2016-8431 |
Kritik (Critical) | Pixel C | 25 Ekim 2016 |
| CVE-2016-8432 | A-32447738* N-CVE-2016-8432 |
Kritik (Critical) | Pixel C | 26 Ekim 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek sürücüsünde ayrıcalık yükseltme güvenlik açığı
MediaTek sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8433 | A-31750190* MT-ALPS02974192 |
Kritik (Critical) | Yok** | 24 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Qualcomm GPU sürücüsünde yetki yükseltme güvenlik açığı
Qualcomm GPU sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8434 | A-32125137 QC-CR#1081855 |
Kritik (Critical) | Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 Ekim 2016 |
NVIDIA GPU sürücüsünde yetki yükseltme güvenlik açığı
NVIDIA GPU sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8435 | A-32700935* N-CVE-2016-8435 |
Kritik (Critical) | Pixel C | 7 Kasım 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm video sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm video sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın yerel olarak kalıcı olarak güvenliğinin ihlal edilmesi ihtimali nedeniyle Kritik olarak değerlendirilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8436 | A-32450261 QC-CR#1007860 |
Kritik (Critical) | Yok* | 13 Ekim 2016 |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş olan desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki güvenlik açıkları Qualcomm bileşenlerini etkiler ve Qualcomm AMSS Kasım 2015, Ağustos 2016, Eylül 2016 ve Ekim 2016 güvenlik bültenlerinde daha ayrıntılı olarak açıklanmıştır.
| CVE | Referanslar | Önem derecesi* | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8438 | A-31624565** | Kritik (Critical) | Yok*** | Qualcomm'un dahili |
| CVE-2016-8442 | A-31625910** | Kritik (Critical) | Yok*** | Qualcomm'un dahili |
| CVE-2016-8443 | A-32576499** | Kritik (Critical) | Yok*** | Qualcomm'un dahili |
| CVE-2016-8437 | A-31623057** | Yüksek | Yok*** | Qualcomm'un dahili |
| CVE-2016-8439 | A-31625204** | Yüksek | Yok*** | Qualcomm'un dahili |
| CVE-2016-8440 | A-31625306** | Yüksek | Yok*** | Qualcomm'un dahili |
| CVE-2016-8441 | A-31625904** | Yüksek | Yok*** | Qualcomm'un dahili |
| CVE-2016-8398 | A-31548486** | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | Qualcomm'un dahili |
| CVE-2016-8459 | A-32577972** | Yüksek | Yok*** | Qualcomm'un dahili |
| CVE-2016-5080 | A-31115235** | Orta seviye | Nexus 5X | Qualcomm'un dahili |
* Bu güvenlik açıklarının önem derecesi tedarikçi firma tarafından belirlenmiştir.
** Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
*** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Qualcomm kamerada ayrıcalık yükseltme güvenlik açığı
Qualcomm kamerasında ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8412 | A-31225246 QC-CR#1071891 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 26 Ağustos 2016 |
| CVE-2016-8444 | A-31243641* QC-CR#1074310 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P | 26 Ağustos 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developer sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek bileşenlerinde yetki yükseltme güvenlik açığı
Isıtma sürücüsü ve video sürücüsü dahil olmak üzere MediaTek bileşenlerinde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesi gerektiği için bu sorun yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8445 | A-31747590* MT-ALPS02968983 |
Yüksek | Yok** | 25 Eylül 2016 |
| CVE-2016-8446 | A-31747749* MT-ALPS02968909 |
Yüksek | Yok** | 25 Eylül 2016 |
| CVE-2016-8447 | A-31749463* MT-ALPS02968886 |
Yüksek | Yok** | 25 Eylül 2016 |
| CVE-2016-8448 | A-31791148* MT-ALPS02982181 |
Yüksek | Yok** | 28 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Qualcomm kablosuz ağ sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8415 | A-31750554 QC-CR#1079596 |
Yüksek | Nexus 5X, Pixel, Pixel XL | 26 Eylül 2016 |
NVIDIA GPU sürücüsünde yetki yükseltme güvenlik açığı
NVIDIA GPU sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemin güvenliğinin ihlal edilmesini gerektirdiği için bu sorun yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8449 | A-31798848* N-CVE-2016-8449 |
Yüksek | Nexus 9 | 28 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm ses sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm ses sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8450 | A-32450563 QC-CR#880388 |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One | 13 Ekim 2016 |
Synaptics dokunmatik ekran sürücüsünde yetki yükseltme güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8451 | A-32178033* | Yüksek | Yok** | 13 Ekim 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Çekirdek güvenlik alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek güvenlik alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-7042 | A-32178986 Yukarı yönlü çekirdek |
Yüksek | Pixel C | 14 Ekim 2016 |
Çekirdek performansı alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek performansı alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2017-0403 | A-32402548* | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 25 Ekim 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek ses alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek ses alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2017-0404 | A-32510733* | Yüksek | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 27 Ekim 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm kablosuz ağ sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8452 | A-32506396 QC-CR#1050323 |
Yüksek | Nexus 5X, Android One, Pixel, Pixel XL | 28 Ekim 2016 |
Qualcomm radyo sürücüsünde ayrıcalık yükseltme güvenlik açığı
Qualcomm radyo sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-5345 | A-32639452 QC-CR#1079713 |
Yüksek | Android One | 3 Kasım 2016 |
Çekirdek profilleme alt sisteminde ayrıcalık yükseltme güvenlik açığı
Çekirdek profilleme alt sisteminde ayrıcalık yükseltme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-9754 | A-32659848 Yukarı yönlü çekirdek |
Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player | 4 Kasım 2016 |
Broadcom kablosuz ağ sürücüsünde ayrıcalık yükseltme güvenlik açığı
Broadcom kablosuz sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8453 | A-24739315* B-RB#73392 |
Yüksek | Nexus 6 | Yalnızca Google |
| CVE-2016-8454 | A-32174590* B-RB#107142 |
Yüksek | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 14 Ekim 2016 |
| CVE-2016-8455 | A-32219121* B-RB#106311 |
Yüksek | Nexus 6P | 15 Ekim 2016 |
| CVE-2016-8456 | A-32219255* B-RB#105580 |
Yüksek | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 15 Ekim 2016 |
| CVE-2016-8457 | A-32219453* B-RB#106116 |
Yüksek | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 15 Ekim 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Synaptics dokunmatik ekran sürücüsünde yetki yükseltme güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemin tehlikeye atılmasını gerektirdiği için yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8458 | A-31968442* | Yüksek | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | Yalnızca Google |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
NVIDIA video sürücüsünde bilgi ifşa güvenlik açığı
NVIDIA video sürücüsündeki bilgi açıklaması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, kullanıcının açık izni olmadan hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8460 | A-31668540* N-CVE-2016-8460 |
Yüksek | Nexus 9 | 21 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Önyükleyicide bilgi ifşa etme güvenlik açığı
Önyükleyicideki bilgi açığı, yerel bir saldırganın izin düzeyinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, hassas verilere erişmek için kullanılabileceğinden yüksek olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8461 | A-32369621* | Yüksek | Nexus 9, Pixel, Pixel XL | 21 Ekim 2016 |
| CVE-2016-8462 | A-32510383* | Yüksek | Pixel, Pixel XL | 27 Ekim 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm FUSE dosya sisteminde hizmet reddi güvenlik açığı
Qualcomm FUSE dosya sistemindeki hizmet reddi güvenlik açığı, uzaktaki bir saldırganın özel olarak hazırlanmış bir dosyayı kullanarak cihazın donmasına veya yeniden başlatılmasına neden olmasını sağlayabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8463 | A-30786860 QC-CR#586855 |
Yüksek | Yok* | 3 Ocak 2014 |
* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş olan desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Önyükleyicide hizmet reddi güvenlik açığı
Önyükleyicideki hizmet kesintisi güvenlik açığı, saldırganların yerel olarak kalıcı bir hizmet kesintisi yapmasına neden olabilir. Bu durumda, cihazın onarılması için işletim sisteminin yeniden yüklenmesi gerekebilir. Bu sorun, yerel kalıcı hizmet reddi olasılığı nedeniyle yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8467 | A-30308784* | Yüksek | Nexus 6, Nexus 6P | 29 Haziran 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developer sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Broadcom kablosuz ağ sürücüsünde ayrıcalık yükseltme güvenlik açığı
Broadcom kablosuz sürücüsündeki ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği ve mevcut platform yapılandırmaları tarafından azaltıldığı için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8464 | A-29000183* B-RB#106314 |
Orta seviye | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 26 Mayıs 2016 |
| CVE-2016-8466 | A-31822524* B-RB#105268 |
Orta seviye | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 28 Eylül 2016 |
| CVE-2016-8465 | A-32474971* B-RB#106053 |
Orta seviye | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 Ekim 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Binder'da ayrıcalık yükseltme güvenlik açığı
Binder'da ayrıcalık yükseltme güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir süreç bağlamında keyfi kod yürütmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir sürecin tehlikeye atılmasını gerektirdiği ve mevcut platform yapılandırmaları tarafından azaltıldığı için Orta düzey olarak değerlendirilir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8468 | A-32394425* | Orta seviye | Pixel C, Pixel, Pixel XL | Yalnızca Google |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
NVIDIA kamera sürücüsünde bilgi ifşa etme güvenlik açığı
Kamera sürücüsündeki bilgi ifşa etme güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8469 | A-31351206* N-CVE-2016-8469 |
Orta seviye | Nexus 9 | 7 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
MediaTek sürücüsünde bilgi ifşa güvenlik açığı
MediaTek sürücüsündeki bir bilgi açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8470 | A-31528889* MT-ALPS02961395 |
Orta seviye | Yok** | 15 Eylül 2016 |
| CVE-2016-8471 | A-31528890* MT-ALPS02961380 |
Orta seviye | Yok** | 15 Eylül 2016 |
| CVE-2016-8472 | A-31531758* MT-ALPS02961384 |
Orta seviye | Yok** | 15 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemeleri yüklemiş desteklenen Google cihazları bu güvenlik açığından etkilenmez.
STMicroelectronics sürücüsünde bilgi ifşa etme güvenlik açığı
STMicroelectronics sürücüsündeki bir bilgi açıklaması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, önce ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8473 | A-31795790* | Orta seviye | Nexus 5X, Nexus 6P | 28 Eylül 2016 |
| CVE-2016-8474 | A-31799972* | Orta seviye | Nexus 5X, Nexus 6P | 28 Eylül 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Qualcomm ses son işlemcisinde bilgi ifşa etme güvenlik açığı
Qualcomm ses son işlemcisinde bilgi açığa çıkarma güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, izinsiz olarak hassas verilere erişmek için kullanılabileceğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Güncellenen AOSP sürümleri | Bildirim tarihi |
|---|---|---|---|---|---|
| CVE-2017-0399 | A-32588756 [2] | Orta seviye | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 Ekim 2016 |
| CVE-2017-0400 | A-32438598 [2] | Orta seviye | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 Ekim 2016 |
| CVE-2017-0401 | A-32588016 | Orta seviye | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 Ekim 2016 |
| CVE-2017-0402 | A-32588352 [2] | Orta seviye | Tümü | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 Ekim 2016 |
HTC giriş sürücüsünde bilgi ifşa etme güvenlik açığı
HTC giriş sürücüsündeki bir bilgi açıklama güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak tanıyabilir. Öncelikle ayrıcalıklı bir işlemden ödün verilmesini gerektirdiği için bu sorun Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2016-8475 | A-32591129* | Orta seviye | Pixel, Pixel XL | 30 Ekim 2016 |
* Bu sorunun düzeltmesi herkese açık değildir. Güncelleme, Google Developers sitesinden indirilebilen Nexus cihazlar için en son ikili sürücülerde yer alır.
Çekirdek dosya sisteminde hizmet reddi güvenlik açığı
Çekirdek dosya sisteminde hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın cihazın donmasına veya yeniden başlatılmasına neden olmasına neden olabilir. Bu sorun, düzeltilmesi için fabrika ayarlarına sıfırlama gerektiren geçici bir hizmet reddi olduğundan Orta olarak derecelendirilmiştir.
| CVE | Referanslar | Önem derecesi | Güncellenen Google cihazlar | Bildirim tarihi |
|---|---|---|---|---|
| CVE-2014-9420 | A-32477499 Yukarı yönlü çekirdek |
Orta seviye | Pixel C | 25 Aralık 2014 |
Sık Sorulan Sorular ve Yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek yaygın sorular yanıtlanmaktadır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl öğrenebilirim?
Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programındaki talimatları okuyun.
- 01.01.2017 veya sonraki güvenlik yaması düzeyleri, 01.01.2017 güvenlik yaması düzeyiyle ilişkili tüm sorunları giderir.
- 05.01.2017 veya sonraki güvenlik yaması düzeyleri, 05.01.2017 güvenlik yaması düzeyi ve önceki tüm yamalar düzeyleriyle ilgili tüm sorunları giderir.
Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır:
- [ro.build.version.security_patch]:[2017-01-01]
- [ro.build.version.security_patch]:[2017-01-05]
2. Bu bültenin neden iki güvenlik yaması düzeyi var?
Bu bülten iki güvenlik yaması düzeyine sahiptir. Böylece Android iş ortakları, tüm Android cihazlarda benzer olan bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliğine sahip olur. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmesi ve en son güvenlik yaması düzeyini kullanması önerilir.
- 1 Ocak 2017 güvenlik yaması düzeyini kullanan cihazlar, bu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir.
- 5 Ocak 2017 veya daha yeni bir güvenlik yaması düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerindeki tüm geçerli yamaları içermelidir.
İş ortaklarının, ele aldıkları tüm sorunların düzeltmelerini tek bir güncellemede toplamalarının önerilir.
3. Her sorundan hangi Google cihazlarının etkilendiğini nasıl öğrenebilirim?
2017-01-01 ve 2017-01-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda her sorun için güncellenen etkilenen Google cihazlarının kapsamını içeren bir Güncellenen Google cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Google cihazları: Bir sorun Tüm ve Pixel cihazları etkiliyorsa tablonun Güncellenen Google cihazları sütununda "Tüm" ifadesi yer alır. "Tümü", aşağıdaki desteklenen cihazları kapsar: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ve Pixel XL.
- Bazı Google cihazları: Bir sorun tüm Google cihazlarını etkilemiyorsa etkilenen Google cihazları Güncellenen Google cihazları sütununda listelenir.
- Google cihaz yok: Android'in mevcut en son sürümünü çalıştıran hiçbir Google cihazı sorundan etkilenmiyorsa tablonun Güncellenen Google cihazları sütununda "Yok" ifadesi yer alır.
4. Referanslar sütunundaki girişler neyle eşlenir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir ön ek içerebilir. Bu önekler aşağıdaki şekilde eşlenir:
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| QC- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
Düzeltmeler
- 3 Ocak 2017: Bülten yayınlandı.
- 04 Ocak 2017: Bülten, AOSP bağlantılarını içerecek şekilde düzeltildi.
- 05 Ocak 2017: AOSP sürüm numarasının 7.1 yerine 7.1.1 olarak düzeltilmesi.
- 12 Ocak 2017: CVE-2016-8467 için yinelenen giriş kaldırıldı.
- 24 Ocak 2017: CVE-2017-0381 için açıklama ve önem derecesi güncellendi.
- 2 Şubat 2017: CVE-2017-0389, ek düzeltme bağlantısıyla güncellendi.