Android Güvenlik Bülteni—Mayıs 2017

Yayınlanma Tarihi 01 Mayıs 2017 | Güncellenme tarihi: 03 Ekim 2017

Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazının donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 05 Mayıs 2017 veya sonraki güvenlik düzeltme eki düzeyleri bu sorunların tümüne yöneliktir. Bir cihazın güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Pixel ve Nexus güncelleme planına bakın.

Bültende açıklanan hususlar 03 Nisan 2017 veya daha önce ortaklara bildirildi. Bu sorunlara ilişkin kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlandı ve bu bültenden bağlantı verildi. Bu bülten aynı zamanda AOSP dışındaki yamalara bağlantılar da içermektedir.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltımları bölümüne bakın.

Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi bulunmaktadır. Ek bilgi için Yaygın sorular ve yanıtlara bakın:
    • 2017-05-01 : Kısmi güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2017-05-01 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
    • 2017-05-05 : Tam güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2017-05-01 ve 2017-05-05 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
  • Desteklenen Google cihazları, 05 Mayıs 2017 güvenlik yaması düzeyinde tek bir OTA güncellemesi alacaktır.

Android ve Google Hizmeti Azaltımları

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetlerine sahip cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Venustech ADlab'ı: CVE-2017-0630
  • KeenLab'dan Di Shen ( @returnsme ) ( @keen_lab ), Tencent: CVE-2016-10287
  • Trend Micro'dan Ecular Xu (徐健): CVE-2017-0599, CVE-2017-0635
  • En He ( @heeeeen4x ) ve MS509Team'den Bo Liu: CVE-2017-0601
  • Takım Galibiyeti Kurtarma Projesi'nden Ethan Yonker: CVE-2017-0493
  • Gengjia Chen ( @chengjia4574 ) ve IceSword Lab'den pjf , Qihoo 360 Technology Co. Ltd: CVE-2016-10285, CVE-2016-10288, CVE-2016-10290, CVE-2017-0624, CVE-2017-0616, CVE -2017-0617, CVE-2016-10294, CVE-2016-10295, CVE-2016-10296
  • Tencent PC Yöneticisi'nden godzheng (郑文选@VirtualSeekers ): CVE-2017-0602
  • Urbana-Champaign'deki Illinois Üniversitesi'nden Güliz Seray Tuncay : CVE-2017-0593
  • Alpha Team'den Hao Chen ve Guang Gong, Qihoo 360 Technology Co. Ltd: CVE-2016-10283
  • Xiaomi Inc.'den Juhu Nie, Yang Cheng, Nan Li ve Qiwu Huang: CVE-2016-10276
  • Michał Bednarski : CVE-2017-0598
  • Tesla'nın Ürün Güvenliği Ekibinden Nathan Crandall ( @natecray ): CVE-2017-0331, CVE-2017-0606
  • Niky1235 ( @jiych_guru ): CVE-2017-0603
  • Alibaba Mobile Security Group'tan Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang şarkısı: CVE-2016-10281, CVE-2016-10280
  • Aleph Research'ten Roee Hay ( @roeehay ) : CVE-2016-10277
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-10274
  • C0RE Ekibinden Tong Lin , Yuan-Tsung Lo ve Xuxian Jiang: CVE-2016-10291
  • Vasili Vasilyev: CVE-2017-0589
  • Mobil Tehdit Müdahale Ekibi'nden VEO ( @VYSEa ), Trend Micro : CVE-2017-0590, CVE-2017-0587, CVE-2017-0600
  • Tencent Güvenlik Platformu Departmanından Xiling Gong: CVE-2017-0597
  • 360 Marvel Ekibinden Xingyuan Lin: CVE-2017-0627
  • Alibaba Inc'den Yong Wang (王勇) ( @ThomasKing2014 ): CVE-2017-0588
  • IceSword Lab'den Yonggang Guo ( @guoygang ), Qihoo 360 Technology Co. Ltd: CVE-2016-10289, CVE-2017-0465
  • Vulpecker Ekibinden Yu Pan, Qihoo 360 Technology Co. Ltd: CVE-2016-10282, CVE-2017-0615
  • Vulpecker Team'den Yu Pan ve Peide Zhang, Qihoo 360 Technology Co. Ltd: CVE-2017-0618, CVE-2017-0625

2017-05-01 güvenlik yaması düzeyi-Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-05-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Mediaserver'da uzaktan kod yürütme güvenlik açığı

Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak verebilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0587 A-35219737 Kritik Tüm 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 4 Ocak 2017
CVE-2017-0588 A-34618607 Kritik Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 21 Ocak 2017
CVE-2017-0589 A-34897036 Kritik Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 1 Şubat 2017
CVE-2017-0590 A-35039946 Kritik Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 6 Şubat 2017
CVE-2017-0591 A-34097672 Kritik Tüm 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 Google dahili
CVE-2017-0592 A-34970788 Kritik Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 Google dahili

Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı

Çerçeve API'lerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın özel izinlere erişim elde etmesine olanak sağlayabilir. Bu sorun, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarına yönelik genel bir atlama olduğundan Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0593 A-34114230 Yüksek Tüm 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 5 Ocak 2017

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0594 A-34617444 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 22 Ocak 2017
CVE-2017-0595 A-34705519 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 Ocak 2017
CVE-2017-0596 A-34749392 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 Ocak 2017

Audioserver'da ayrıcalık yükselmesi güvenlik açığı

Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0597 A-34749571 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 25 Ocak 2017

Çerçeve API'lerinde bilgilerin açığa çıkması güvenlik açığı

Çerçeve API'lerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın erişim sahibi olmadığı verilere erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0598 A-34128677 [ 2 ] Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 6 Ocak 2017

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki uzaktan hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0599 A-34672748 Yüksek Tüm 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 23 Ocak 2017
CVE-2017-0600 A-35269635 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 10 Şubat 2017

Bluetooth'ta ayrıcalık yükselmesi güvenlik açığı

Bluetooth'taki bir Ayrıcalık Yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, kullanıcının izni olmadan Bluetooth aracılığıyla paylaşılan zararlı dosyaları kabul etmesine olanak tanıyabilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması nedeniyle Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0601 A-35258579 Ilıman Tüm 7.0, 7.1.1, 7.1.2 9 Şubat 2017

Dosya Tabanlı Şifrelemede bilginin açığa çıkması güvenlik açığı

Dosya Tabanlı Şifrelemedeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü niyetli bir saldırganın kilit ekranı için işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, kilit ekranını atlama olasılığı nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0493 A-32793550 [ 2 ] [ 3 ] Ilıman Tüm 7.0, 7.1.1 9 Kasım 2016

Bluetooth'ta bilgilerin açığa çıkması güvenlik açığı

Bluetooth'taki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına izin verebilir. Bu sorun, güvenlik açığına özgü ayrıntılar nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0602 A-34946955 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 5 Aralık 2016

OpenSSL ve BoringSSL'de bilgilerin açığa çıkması güvenlik açığı

OpenSSL ve BoringSSL'deki bilgilerin açığa çıkması güvenlik açığı uzaktaki bir saldırganın hassas bilgilere erişmesine olanak sağlayabilir. Bu sorun, güvenlik açığına özgü ayrıntılar nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-7056 A-33752052 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 19 Aralık 2016

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, alışılmadık bir cihaz yapılandırması gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0603 A-35763994 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 23 Şubat 2017

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki uzaktan hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, güvenlik açığına özgü ayrıntılar nedeniyle Düşük olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0635 A-35467107 Düşük Tüm 7.0, 7.1.1, 7.1.2 16 Şubat 2017

2017-05-05 güvenlik yaması düzeyi-Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-05-05 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

GIFLIB'de uzaktan kod yürütme güvenlik açığı

GIFLIB'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak verebilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2015-7555 A-34697653 Kritik Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 13 Nisan 2016

MediaTek dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10274 A-30202412*
M-ALPS02897901
Kritik Hiçbiri** 16 Temmuz 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm önyükleyicisinde ayrıcalık yükselmesi güvenlik açığı

Qualcomm önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10275 A-34514954
QC-CR#1009111
Kritik Nexus 5X, Nexus 6, Piksel, Piksel XL, Android One 13 Eylül 2016
CVE-2016-10276 A-32952839
QC-CR#1094105
Kritik Nexus 5X, Nexus 6P, Piksel, Piksel XL 16 Kasım 2016

Çekirdek ses alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ses alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-9794 A-34068036
Yukarı akış çekirdeği
Kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Piksel, Piksel XL, Piksel C, Android One, Nexus Oynatıcı 3 Aralık 2016

Motorola önyükleyicisinde ayrıcalık yükselmesi güvenlik açığı

Motorola önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, önyükleyici bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10277 A-33840490*
Kritik Nexus 6 21 Aralık 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

NVIDIA video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0331 A-34113000*
N-CVE-2017-0331
Kritik Nexus 9 4 Ocak 2017

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm güç sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek Qualcomm güç sürücüsündeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0604 A-35392981
QC-CR#826589
Kritik Hiçbiri* 15 Şubat 2017

* Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm bileşenlerindeki güvenlik açıkları

Bu güvenlik açıkları Qualcomm bileşenlerini etkilemektedir ve Qualcomm AMSS Ağustos, Eylül, Ekim ve Aralık 2016 güvenlik bültenlerinde daha ayrıntılı olarak açıklanmaktadır.

CVE Referanslar Şiddet* Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10240 A-32578446**
QC-CR#955710
Kritik Nexus 6P Qualcomm dahili
CVE-2016-10241 A-35436149**
QC-CR#1068577
Kritik Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL Qualcomm dahili
CVE-2016-10278 A-31624008**
QC-CR#1043004
Yüksek Piksel, Piksel XL Qualcomm dahili
CVE-2016-10279 A-31624421**
QC-CR#1031821
Yüksek Piksel, Piksel XL Qualcomm dahili

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Libxml2'de uzaktan kod yürütme güvenlik açığı

Libxml2'deki bir uzaktan kod yürütme güvenlik açığı, bir saldırganın ayrıcalıklı olmayan bir işlem bağlamında özel hazırlanmış bir dosyayı kullanarak rastgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-5131 A-32956747* Yüksek Hiçbiri** 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 23 Temmuz 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

MediaTek termal sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek termal sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10280 A-28175767*
M-ALPS02696445
Yüksek Hiçbiri** 11 Nis 2016
CVE-2016-10281 A-28175647*
M-ALPS02696475
Yüksek Hiçbiri** 11 Nis 2016
CVE-2016-10282 A-33939045*
M-ALPS03149189
Yüksek Hiçbiri** 27 Aralık 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10283 A-32094986
QC-CR#2002052
Yüksek Nexus 5X, Piksel, Piksel XL, Android One 11 Ekim 2016

Qualcomm video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10284 A-32402303*
QC-CR#2000664
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL, Android One 24 Ekim 2016
CVE-2016-10285 A-33752702
QC-CR#1104899
Yüksek Piksel, Piksel XL 19 Aralık 2016
CVE-2016-10286 A-35400904
QC-CR#1090237
Yüksek Piksel, Piksel XL 15 Şubat 2017

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2015-9004 A-34515362
Yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Piksel, Piksel XL, Piksel C, Android One, Nexus Oynatıcı 23 Kasım 2016

Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10287 A-33784446
QC-CR#1112751
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL, Android One 20 Aralık 2016
CVE-2017-0606 A-34088848
QC-CR#1116015
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL, Android One 3 Ocak 2017
CVE-2016-5860 A-34623424
QC-CR#1100682
Yüksek Piksel, Piksel XL 22 Ocak 2017
CVE-2016-5867 A-35400602
QC-CR#1095947
Yüksek Hiçbiri* 15 Şubat 2017
CVE-2017-0607 A-35400551
QC-CR#1085928
Yüksek Piksel, Piksel XL 15 Şubat 2017
CVE-2017-0608 A-35400458
QC-CR#1098363
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL, Android One 15 Şubat 2017
CVE-2017-0609 A-35399801
QC-CR#1090482
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL, Android One 15 Şubat 2017
CVE-2016-5859 A-35399758
QC-CR#1096672
Yüksek Hiçbiri* 15 Şubat 2017
CVE-2017-0610 A-35399404
QC-CR#1094852
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL, Android One 15 Şubat 2017
CVE-2017-0611 A-35393841
QC-CR#1084210
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL, Android One 15 Şubat 2017
CVE-2016-5853 A-35392629
QC-CR#1102987
Yüksek Hiçbiri* 15 Şubat 2017

* Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm LED sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm LED sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10288 A-33863909
QC-CR#1109763
Yüksek Piksel, Piksel XL 23 Aralık 2016

Qualcomm kripto sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kripto sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10289 A-33899710
QC-CR#1116295
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL, Android One 24 Aralık 2016

Qualcomm paylaşılan bellek sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm paylaşılan bellek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10290 A-33898330
QC-CR#1109782
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 24 Aralık 2016

Qualcomm Slimbus sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Slimbus sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10291 A-34030871
QC-CR#986837
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One 31 Aralık 2016

Qualcomm ADSPRPC sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ADSPRPC sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0465 A-34112914
QC-CR#1110747
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL, Android One 5 Ocak 2017

Qualcomm Secure Execution Environment Communicator sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Secure Execution Environment Communicator sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0612 A-34389303
QC-CR#1061845
Yüksek Piksel, Piksel XL 10 Ocak 2017
CVE-2017-0613 A-35400457
QC-CR#1086140
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL, Android One 15 Şubat 2017
CVE-2017-0614 A-35399405
QC-CR#1080290
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL, Android One 15 Şubat 2017

MediaTek güç sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek güç sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0615 A-34259126*
M-ALPS03150278
Yüksek Hiçbiri** 12 Ocak 2017

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

MediaTek sistem yönetimi kesinti sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek sistem yönetimi kesinti sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0616 A-34470286*
M-ALPS03149160
Yüksek Hiçbiri** 19 Ocak 2017

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

MediaTek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0617 A-34471002*
M-ALPS03149173
Yüksek Hiçbiri** 19 Ocak 2017

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

MediaTek komut kuyruğu sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek komut kuyruğu sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0618 A-35100728*
M-ALPS03161536
Yüksek Hiçbiri** 7 Şubat 2017

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm pin denetleyici sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm pin denetleyici sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0619 A-35401152
QC-CR#826566
Yüksek Nexus 6, Android Bir 15 Şubat 2017

Qualcomm Secure Channel Manager Driver'da ayrıcalık yükselmesi güvenlik açığı

Qualcomm Secure Channel Manager sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0620 A-35401052
QC-CR#1081711
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL, Android One 15 Şubat 2017

Qualcomm ses codec sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses codec sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-5862 A-35399803
QC-CR#1099607
Yüksek Piksel, Piksel XL 15 Şubat 2017

Çekirdek voltaj düzenleyici sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek voltaj düzenleyici sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2014-9940 A-35399757
Yukarı akış çekirdeği
Yüksek Nexus 6, Nexus 9, Pixel C, Android One, Nexus Oynatıcı 15 Şubat 2017

Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0621 A-35399703
QC-CR#831322
Yüksek Android Bir 15 Şubat 2017

Qualcomm ağ sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ağ sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-5868 A-35392791
QC-CR#1104431
Yüksek Nexus 5X, Piksel, Piksel XL 15 Şubat 2017

Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağı alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-7184 A-36565222
Yukarı akış çekirdeği [2]
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Piksel, Piksel XL, Android One 23 Mart 2017

Goodix dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Goodix dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0622 A-32749036
QC-CR#1098602
Yüksek Android Bir Google dahili

HTC önyükleyicisinde ayrıcalık yükselmesi güvenlik açığı

HTC önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, önyükleyici bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0623 A-32512358*
Yüksek Piksel, Piksel XL Google Dahili

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Wi-Fi sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0624 A-34327795*
QC-CR#2005832
Yüksek Nexus 5X, Piksel, Piksel XL 16 Ocak 2017

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

MediaTek komut kuyruğu sürücüsünde bilginin açığa çıkması güvenlik açığı

MediaTek komut kuyruğu sürücüsündeki bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0625 A-35142799*
M-ALPS03161531
Yüksek Hiçbiri** 8 Şubat 2017

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.1.1 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm kripto motoru sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm kripto motoru sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0626 A-35393124
QC-CR#1088050
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Piksel, Piksel XL, Android One 15 Şubat 2017

Qualcomm Wi-Fi sürücüsünde hizmet reddi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki hizmet reddi güvenlik açığı, yakındaki bir saldırganın Wi-Fi alt sisteminde hizmet reddine neden olmasına olanak sağlayabilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10292 A-34514463*
QC-CR#1065466
Yüksek Nexus 5X, Piksel, Piksel XL 16 Aralık 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdek UVC sürücüsünde bilginin açığa çıkması güvenlik açığı

Çekirdek UVC sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0627 A-33300353*
Ilıman Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Oynatıcı 2 Aralık 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10293 A-33352393
QC-CR#1101943
Ilıman Nexus 5X, Nexus 6P, Android One 4 Aralık 2016

Qualcomm güç sürücüsündeki bilgilerin açığa çıkması güvenlik açığı (cihaza özel)

Qualcomm güç sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10294 A-33621829
QC-CR#1105481
Ilıman Nexus 5X, Nexus 6P, Piksel, Piksel XL 14 Aralık 2016

Qualcomm LED sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm LED sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10295 A-33781694
QC-CR#1109326
Ilıman Piksel, Piksel XL 20 Aralık 2016

Qualcomm paylaşılan bellek sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm paylaşılan bellek sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10296 A-33845464
QC-CR#1109782
Ilıman Nexus 5X, Nexus 6P, Piksel, Piksel XL, Android One 22 Aralık 2016

Qualcomm kamera sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm kamera sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0628 A-34230377
QC-CR#1086833
Ilıman Nexus 5X, Nexus 6, Piksel, Piksel XL 10 Ocak 2017
CVE-2017-0629 A-35214296
QC-CR#1086833
Ilıman Nexus 5X, Nexus 6, Piksel, Piksel XL 8 Şubat 2017

Çekirdek izleme alt sisteminde bilginin açığa çıkması güvenlik açığı

Çekirdek iz alt sistemindeki bir bilgi açıklaması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin seviyelerinin dışındaki verilere erişmesini sağlayabilir. Bu sorun ılımlı olarak derecelendirilmiştir, çünkü önce ayrıcalıklı bir süreçten ödün verilmesini gerektirir.

CVE Referanslar Şiddet Güncellenmiş Google Cihazları Bildirilme tarihi
CVE-2017-0630 A-34277115*
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 11 Ocak 2017

* Bu sorunun yaması herkese açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Sound Codec sürücüsünde bilgi açıklama güvenlik açığı

Qualcomm Sound CODEC sürücüsündeki bir bilgi açıklaması güvenlik açığı, izin seviyelerinin dışındaki verilere erişebilmesi için yerel bir kötü amaçlı uygulamanın sağlayabilir. Bu sorun ılımlı olarak derecelendirilmiştir, çünkü önce ayrıcalıklı bir süreçten ödün verilmesini gerektirir.

CVE Referanslar Şiddet Güncellenmiş Google Cihazları Bildirilme tarihi
CVE-2016-5858 A-35400153
QC-CR#1096799 [2]
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 Şub 2017

Qualcomm Kamera Sürücüsünde Bilgi Açıklama Güvenlik Açığı

Qualcomm kamera sürücüsündeki bir bilgi açıklaması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin seviyelerinin dışındaki verilere erişmesini sağlayabilir. Bu sorun ılımlı olarak derecelendirilmiştir, çünkü önce ayrıcalıklı bir süreçten ödün verilmesini gerektirir.

CVE Referanslar Şiddet Güncellenmiş Google Cihazları Bildirilme tarihi
CVE-2017-0631 A-35399756
QC-CR#1093232
Ilıman Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 15 Şub 2017

Qualcomm Sound Driver'da Bilgi Açıklama Güvenlik Açığı

Qualcomm Sound Driver'daki bir bilgi açıklaması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin seviyelerinin dışındaki verilere erişmesini sağlayabilir. Bu sorun ılımlı olarak derecelendirilmiştir, çünkü önce ayrıcalıklı bir süreçten ödün verilmesini gerektirir.

CVE Referanslar Şiddet Güncellenmiş Google Cihazları Bildirilme tarihi
CVE-2016-5347 A-35394329
QC-CR#1100878
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 15 Şub 2017

Qualcomm SPCOM sürücüsünde bilgi açıklama güvenlik açığı

Qualcomm SPCOM sürücüsündeki bir bilgi açıklama güvenlik açığı, izin seviyelerinin dışındaki verilere erişebilmesi için yerel bir kötü amaçlı uygulamanın sağlayabilir. Bu sorun ılımlı olarak derecelendirilmiştir, çünkü önce ayrıcalıklı bir süreçten ödün verilmesini gerektirir.

CVE Referanslar Şiddet Güncellenmiş Google Cihazları Bildirilme tarihi
CVE-2016-5854 A-35392792
QC-CR#1092683
Ilıman Hiçbiri* 15 Şub 2017
CVE-2016-5855 A-35393081
QC-CR#1094143
Ilıman Hiçbiri* 15 Şub 2017

* Mevcut tüm güncellemeleri yükleyen Android 7.1.1 veya üstünde desteklenen Google Cihazları bu güvenlik açığından etkilenmez.

Qualcomm Sound Codec sürücüsünde bilgi açıklama güvenlik açığı

Qualcomm Sound CODEC sürücüsündeki bir bilgi açıklaması güvenlik açığı, izin seviyelerinin dışındaki verilere erişebilmesi için yerel bir kötü amaçlı uygulamanın sağlayabilir. Bu sorun ılımlı olarak derecelendirilmiştir, çünkü önce ayrıcalıklı bir süreçten ödün verilmesini gerektirir.

CVE Referanslar Şiddet Güncellenmiş Google Cihazları Bildirilme tarihi
CVE-2017-0632 A-35392586
QC-CR#832915
Ilıman Android One 15 Şub 2017

Broadcom Wi-Fi Sürücüsünde Bilgi Açıklama Güvenlik Açığı

Broadcom Wi-Fi sürücüsündeki bir bilgi açıklaması güvenlik açığı, yerel bir kötü niyetli bileşenin izin seviyelerinin dışındaki verilere erişmesini sağlayabilir. Bu sorun ılımlı olarak derecelendirilmiştir, çünkü önce ayrıcalıklı bir süreçten ödün verilmesini gerektirir.

CVE Referanslar Şiddet Güncellenmiş Google Cihazları Bildirilme tarihi
CVE-2017-0633 A-36000515*
B-RB#117131
Ilıman Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player 23 Şub 2017

* Bu sorunun yaması herkese açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Synaptics dokunmatik ekran sürücüsünde bilgi açıklama güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir bilgi açıklama güvenlik açığı, izin seviyelerinin dışındaki verilere erişebilmesi için yerel bir kötü amaçlı uygulamanın sağlayabilir. Bu sorun ılımlı olarak derecelendirilmiştir, çünkü önce ayrıcalıklı bir süreçten ödün verilmesini gerektirir.

CVE Referanslar Şiddet Güncellenmiş Google Cihazları Bildirilme tarihi
CVE-2017-0634 A-32511682*
Ilıman Piksel, Piksel XL Google dahili

* Bu sorunun yaması herkese açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm bileşenlerinde güvenlik açıkları

Qualcomm bileşenlerini etkileyen bu güvenlik açıkları, 2014-2016 yılları arasında Qualcomm AMSS güvenlik bültenlerinin bir parçası olarak yayınlandı. Bu Android güvenlik bültenine, düzeltmelerini bir Android güvenlik yama seviyesiyle ilişkilendirmek için dahildir.

CVE Referanslar Şiddet* Güncellenmiş Google Cihazları Bildirilme tarihi
CVE-2014-9923 A-35434045 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2014-9924 A-35434631 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2014-9925 A-35444657 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2014-9926 A-35433784 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2014-9927 A-35433785 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2014-9928 A-35438623 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2014-9929 A-35443954 **
QC-CR#644783
Kritik Hiçbiri*** Qualcomm Dahili
CVE-2014-9930 A-35432946 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2015-9005 A-36393500 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2015-9006 A-36393450 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2015-9007 A-36393700 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2016-10297 A-36393451 ** Kritik Hiçbiri*** Qualcomm Dahili
CVE-2014-9941 A-36385125 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9942 A-36385319 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9943 A-36385219 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9944 A-36384534 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9945 A-36386912 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9946 A-36385281 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9947 A-36392400 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9948 A-36385126 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9949 A-36390608 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9950 A-36385321 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9951 A-36389161 ** Yüksek Hiçbiri*** Qualcomm Dahili
CVE-2014-9952 A-36387019 ** Yüksek Hiçbiri*** Qualcomm Dahili

* Bu güvenlik açıkları için şiddet derecesi satıcı tarafından belirlendi.

** Bu sorunun yaması herkese açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

*** Android 7.1.1 veya üstünde desteklenen Google Cihazları, mevcut tüm güncellemeleri yükleyen bu güvenlik açığından etkilenmez.

Sık Sorulan Sorular ve Cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

Bir cihazın güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Pixel ve Nexus güncelleme planındaki talimatları okuyun.

  • 2017-05-01 veya daha sonraki güvenlik yama seviyeleri, 2017-05-01 güvenlik yama seviyesiyle ilişkili tüm sorunları ele alıyor.
  • 2017-05-05 veya daha sonraki güvenlik yama seviyeleri, 2017-05-05 güvenlik yama seviyesi ve önceki tüm yama seviyeleriyle ilişkili tüm sorunları ele alıyor.

Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır:

  • [ro.build.version.security_patch]: [2017-05-01]
  • [ro.build.version.security_patch]: [2017-05-05]

2. Bu bültende neden iki güvenlik yaması düzeyi var?

Bu bültenin iki güvenlik düzeltme eki düzeyi vardır; böylece Android iş ortakları, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahip olur. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyini kullanmaları önerilir.

  • 01 Mayıs 2017 Güvenlik Yaması seviyesini kullanan cihazlar, bu güvenlik yama seviyesiyle ilişkili tüm sorunları ve önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltilmesini içermelidir.
  • 05 Mayıs 2017 veya daha yeni güvenlik yaması seviyesini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerine geçerli tüm yamaları içermelidir.

İş ortaklarının, ele aldıkları tüm sorunlara yönelik düzeltmeleri tek bir güncellemede toplamaları önerilir.

3. Hangi Google cihazlarının her sorundan etkilendiğini nasıl belirleyebilirim?

2017-05-01 ve 2017-05-05 güvenlik açığı detayları bölümlerinde, her tabloda her sayı için güncellenen etkilenen Google cihazlarının aralığını kapsayan güncellenmiş bir Google Cihaz sütunu bulunur. Bu sütunun birkaç seçeneği var:

  • Tüm Google Cihazları : Bir sorun tüm ve Pixel cihazlarını etkiliyorsa, tablo güncellenmiş Google Cihazlar sütununda "hepsi" olacaktır. "All" aşağıdaki desteklenen cihazları kapsar: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus oyuncusu, Pixel C, Pixel ve Pixel XL.
  • Bazı Google Cihazları : Bir sorun tüm Google cihazlarını etkilemezse, etkilenen Google cihazları güncellenmiş Google Cihazlar sütununda listelenir.
  • Google Cihazları Yok : Android 7.0 çalıştıran Google cihazları sorundan etkilenmiyorsa, tabloda güncellenmiş Google Cihazlar sütununda "Yok" olacaktır.

4. Referanslar sütunundaki girişler neye göre?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler aşağıdaki gibi eşleşir:

Önek Referans
A- Android hata kimliği
Kalite kontrol- Qualcomm referans numarası
M- MediaTek referans numarası
N- NVIDIA referans numarası
B- Broadcom referans numarası

Revizyonlar

  • 01 Mayıs 2017: Bülten yayınlandı.
  • 02 Mayıs 2017: Bülten AOSP bağlantılarını içerecek şekilde revize edildi.
  • 10 Ağustos 2017: Bülten, CVE-2017-0493 için ek AOSP bağlantısını içerecek şekilde revize edildi.
  • 17 Ağustos 2017: Bülten referans numaralarını güncellemek için revize edildi.
  • 03 Ekim 2017: Bülten CVE-2017-0605'i kaldırmak için revize edildi.