Android Güvenlik Bülteni—Mayıs 2016

Yayınlanma Tarihi 02 Mayıs 2016 | Güncellenme tarihi: 04 Mayıs 2016

Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 01 Mayıs 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir (güvenlik düzeltme eki düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın).

Bültende açıklanan hususlarla ilgili olarak ortaklara 04 Nisan 2016 veya öncesinde bilgi verilmiştir. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google Hizmeti Azaltmalar bölümüne bakın.

Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Daha geniş bir odağı yansıtmak için bu bültenin (ve serideki tüm takip edenlerin) adını Android Güvenlik Bülteni olarak yeniden adlandırdık. Bu bültenler, Nexus cihazlarını etkilemese bile Android cihazları etkileyebilecek daha geniş bir güvenlik açıkları yelpazesini kapsamaktadır.
  • Android Güvenliği önem derecelerini güncelledik. Bu değişiklikler, rapor edilen güvenlik açıklarına ilişkin son altı ayda toplanan verilerin sonucudur ve ciddiyet düzeylerini gerçek dünyadaki kullanıcılara yönelik etkilerle daha uyumlu hale getirmeyi amaçlamaktadır.

Android ve Google Hizmeti Azaltımları

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medya sunucusu gibi işlemlere otomatik olarak medya aktarmamaktadır.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-2454
  • e2e-assure'dan Andy Tyler ( @ticarpi ): CVE-2016-2457
  • Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-2441, CVE-2016-2442
  • Dzmitry Lukyanenka ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • Gal Beniamini: CVE-2016-2431
  • Vulpecker Ekibinden Hao Chen, Qihoo 360 Technology Co. Ltd: CVE-2016-2456
  • Bir FireEye şirketi olan Mandiant'tan Jake Valletta: CVE-2016-2060
  • IceSword Lab'den Jianqiang Zhao ( @jianqiangzhao ) ve pjf ( weibo.com/jfpan ), Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, CVE-2016-2442, CVE-2016-2444, CVE-2016-2445, CVE-2016-2446
  • Search-Lab Ltd.'den Imre Rad: CVE-2016-4477
  • Google'dan Jeremy C. Joslin: CVE-2016-2461
  • Google'ın Kenny Kökü: CVE-2016-2462
  • KeenLab'dan Marco Grassi ( @marcograss ) ( @keen_lab ), Tencent: CVE-2016-2443
  • Michał Bednarski ( https://github.com/michalbednarski ): CVE-2016-2440
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-2459, CVE-2016-2460
  • Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-2428, CVE-2016-2429
  • C0RE Ekibinden Yuan-Tsung Lo , Lubo Zhang , Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang: CVE-2016-2437
  • Baidu X-Lab'dan Yulong Zhang ve Tao (Lenx) Wei: CVE-2016-2439
  • Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-2430

Güvenlik Açığı Ayrıntıları

Aşağıdaki bölümlerde, 2016-05-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili hatayı, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.

Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı

Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, medya sunucusundaki bir güvenlik açığı, bir saldırganın medya sunucusu işlemi olarak bellek bozulmasına ve uzaktan kod yürütülmesine neden olmasına olanak verebilir.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve başta MMS ve medyanın tarayıcıda oynatılması olmak üzere, bu işlevselliğe uzak içerikle erişilmesine olanak tanıyan çok sayıda uygulama vardır.

Bu sorun, medya sunucusu hizmeti bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Mediaserver hizmetinin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

CVE Android hataları Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-2428 26751339 Kritik Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 Ocak 2016
CVE-2016-2429 27211885 Kritik Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 Şubat 2016

Hata Ayıklayıcıda Ayrıcalık Güvenlik Açığı Yükselişi

Entegre Android hata ayıklayıcısındaki ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Android hata ayıklayıcı bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, cihazın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-2430 27299236 Kritik Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 Şubat 2016

Qualcomm TrustZone'da Ayrıcalık Güvenlik Açığı Yükselişi

Qualcomm TrustZone bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, güvenli bir yerel kötü amaçlı uygulamanın TrustZone çekirdeği bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, cihazın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Android hataları Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2431 24968809* Kritik Nexus 5, Nexus 6, Nexus 7 (2013), Android One 15 Ekim 2015
CVE-2016-2432 25913059* Kritik Nexus 6, Android Bir 28 Kasım 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığına yol açan yerel ayrıcalık artışı ve rastgele kod yürütme olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Android hataları Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2015-0569 26754117* Kritik Nexus 5X, Nexus 7 (2013) 23 Ocak 2016
CVE-2015-0570 26764809* Kritik Nexus 5X, Nexus 7 (2013) 25 Ocak 2016

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

NVIDIA Video Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, cihazın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı cihaz güvenliği ihlali olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Android hataları Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2434 27251090* Kritik Nexus 9 17 Şubat 2016
CVE-2016-2435 27297988* Kritik Nexus 9 20 Şubat 2016
CVE-2016-2436 27299111* Kritik Nexus 9 22 Şubat 2016
CVE-2016-2437 27436822* Kritik Nexus 9 1 Mart 2016

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdekte Ayrıcalık Güvenlik Açığı Yükselişi

Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, yerel ayrıcalık artışı ve keyfi kod yürütme olasılığı nedeniyle, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığına yol açması olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir. Bu sorun Android Güvenlik Danışma Belgesi 2016-03-18'de açıklanmıştır.

CVE Android hatası Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2015-1805 27275324* Kritik Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 19 Şubat 2016

* AOSP'deki yama belirli çekirdek sürümleri için mevcuttur: 3.14 , 3.10 ve 3.4 .

Çekirdekte Uzaktan Kod Yürütme Güvenlik Açığı

Ses alt sistemindeki bir uzaktan kod yürütme güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak ses alt sistemini çağırmak için öncelikle ayrıcalıklı bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2438 26636060* Yüksek Nexus 9 Google Dahili

* Bu sorunun yaması Linux'un yukarı akışında mevcuttur.

Qualcomm Tethering Controller'da Bilgi İfşası Güvenlik Açığı

Qualcomm Tethering denetleyicisindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, ayrıcalıklara sahip olmadan kişisel tanımlanabilir bilgilere erişmesine izin verebilir. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2060 27942588* Yüksek Hiçbiri 23 Mart 2016

* Bu sorunun yaması AOSP'de değil. Güncelleme, etkilenen cihazların en son sürücülerinde bulunmalıdır.

Bluetooth'ta Uzaktan Kod Yürütme Güvenlik Açığı

Bir Bluetooth cihazının eşleştirilmesi sırasında, Bluetooth'taki bir güvenlik açığı, yakınsal bir saldırganın eşleştirme işlemi sırasında rastgele kod çalıştırmasına izin verebilir. Bu sorun, Bluetooth aygıtının başlatılması sırasında uzaktan kod yürütülmesi olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-2439 27411268 Yüksek Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Şubat 2016

Binder'da Ayrıcalık Güvenlik Açığı Yükselişi

Binder'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, başka bir uygulamanın süreci bağlamında rastgele kod yürütmesine izin verebilir. Bellekte yer açarken Binder'daki bir güvenlik açığı, bir saldırganın yerel kod yürütülmesine neden olmasına olanak verebilir. Bu sorun, Ciltleyicideki boş bellek işlemi sırasında yerel kod yürütme olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-2440 27252896 Yüksek Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 18 Şubat 2016

Qualcomm Buspm Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

Qualcomm buspm sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hataları Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2441 26354602* Yüksek Nexus 5X, Nexus 6, Nexus 6P 30 Aralık 2015
CVE-2016-2442 26494907* Yüksek Nexus 5X, Nexus 6, Nexus 6P 30 Aralık 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm MDP Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

Qualcomm MDP sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2443 26404525* Yüksek Nexus 5, Nexus 7 (2013) 5 Ocak 2016

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

Qualcomm Wi-Fi bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, ayrıcalıklara sahip olmadan cihaz ayarlarını ve davranışını değiştiren sistem çağrılarını başlatmasına olanak tanıyabilir. Bu sorun, üçüncü taraf bir uygulamanın erişemediği İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2015-0571 26763920* Yüksek Nexus 5X, Nexus 7 (2013) 25 Ocak 2016

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

NVIDIA Video Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

NVIDIA medya sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırmak için yüksek ayrıcalıklı bir hizmetten ödün verilmesini gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hataları Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2444 27208332* Yüksek Nexus 9 16 Şubat 2016
CVE-2016-2445 27253079* Yüksek Nexus 9 17 Şubat 2016
CVE-2016-2446 27441354* Yüksek Nexus 9 1 Mart 2016

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Wi-Fi'de Ayrıcalık Güvenlik Açığının Yükselmesi

Wi-Fi'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf uygulamalar tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için de kullanılabileceğinden Yüksek önem derecesi olarak derecelendirilmiştir.

Not :CVE numarası, MITRE talebi üzerine CVE-2016-2447'den CVE-2016-4477'ye güncellendi.

CVE Android hatası Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-4477 27371366 [ 2 ] Yüksek Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 Şubat 2016

Mediaserver'da Ayrıcalık Güvenlik Açığı Yükselişi

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, Üçüncü taraf bir uygulama tarafından erişilemeyen İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hataları Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-2448 27533704 Yüksek Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Mart 2016
CVE-2016-2449 27568958 Yüksek Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 Mart 2016
CVE-2016-2450 27569635 Yüksek Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 Mart 2016
CVE-2016-2451 27597103 Yüksek Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 Mart 2016
CVE-2016-2452 27662364 [ 2 ] [ 3 ] Yüksek Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 Mart 2016

MediaTek Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Normalde bunun gibi bir çekirdek kodu yürütme hatası Kritik olarak derecelendirilir, ancak öncelikle sürücüyü çağırabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden, Yüksek önem derecesi olarak derecelendirilir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2453 27549705* Yüksek Android Bir 8 Mart 2016

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Donanım Codec'inde Uzaktan Hizmet Reddi Güvenlik Açığı

Medya dosyası ve özel hazırlanmış bir dosyanın verilerinin işlenmesi sırasında, Qualcomm donanım video codec bileşenindeki uzaktan hizmet reddi güvenlik açığı, uzaktaki bir saldırganın, cihazın yeniden başlatılmasına neden olarak etkilenen cihaza erişimi engellemesine olanak tanıyabilir. Bu, uzaktan hizmet reddi olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2454 26221024* Yüksek Nexus 5 16 Aralık 2015

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Conscrypt'te Ayrıcalık Güvenlik Açığı Yükselişi

Conscrypt'teki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir uygulamanın, bir mesajın kimliğinin doğrulanmadığı halde doğrulandığına inanmasına izin verebilir. Bu sorun, birden fazla cihazda koordineli adımlar gerektirdiğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE Android hataları Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-2461 27324690 [ 2 ] Ilıman Tüm Nexus'lar 6.0, 6.0.1 Google Dahili
CVE-2016-2462 27371173 Ilıman Tüm Nexus'lar 6.0, 6.0.1 Google Dahili

OpenSSL ve BoringSSL'de Ayrıcalık Güvenlik Açığı Yükselişi

OpenSSL ve BoringSSL'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Normalde bu durum Yüksek olarak derecelendirilir, ancak alışılmadık bir manuel yapılandırma gerektirdiğinden Orta önem derecesi olarak derecelendirilir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-0705 27449871 Ilıman Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Şubat 2016

MediaTek Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi

MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın hizmet reddine neden olmasına olanak verebilir. Normalde bunun gibi bir ayrıcalık yükseltme hatası Yüksek olarak derecelendirilir, ancak öncelikle bir sistem hizmetinden ödün verilmesini gerektirdiğinden, Orta önem derecesi olarak derecelendirilir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-2456 27275187* Ilıman Android Bir 19 Şubat 2016

* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Wi-Fi'de Ayrıcalık Güvenlik Açığının Yükselmesi

Wi-Fi'de ayrıcalık yükselmesi güvenlik açığı, konuk hesabının birincil kullanıcı için geçerli olan Wi-Fi ayarlarını değiştirmesine olanak tanıyabilir. Bu sorun, " tehlikeli " yeteneklere izinsiz yerel erişime izin verdiği için Orta önem derecesi olarak derecelendirilmiştir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-2457 27411179 Ilıman Tüm Nexus'lar 5.0.2, 5.1.1, 6.0, 6.0.1 29 Şubat 2016

AOSP Postasında Bilginin İfşa Edilmesi Güvenlik Açığı

AOSP Mail'deki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kullanıcının özel bilgilerine erişmesine olanak sağlayabilir. Bu sorun, verilere izinsiz olarak uygunsuz şekilde erişmek için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-2458 27335139 [ 2 ] Ilıman Tüm Nexus'lar 5.0.2, 5.1.1, 6.0, 6.0.1 23 Şubat 2016

Mediaserver'da Bilgi İfşası Güvenlik Açığı

Mediaserver'daki bilgilerin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak uygunsuz şekilde erişmek için kullanılabildiğinden Orta önem derecesi olarak derecelendirilmiştir.

CVE Android hataları Şiddet Nexus cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-2459 27556038 Ilıman Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Mart 2016
CVE-2016-2460 27555981 Ilıman Tüm Nexus'lar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 Mart 2016

Çekirdekte Hizmet Reddi Güvenlik Açığı

Çekirdekteki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın aygıtın yeniden başlatılmasına neden olmasına izin verebilir. Etkisi geçici bir hizmet reddi olduğundan, bu sorun Düşük önem derecesi olarak derecelendirilmiştir.

CVE Android hatası Şiddet Nexus cihazları güncellendi Bildirilme tarihi
CVE-2016-0774 27721803* Düşük Tüm Nexus'lar 17 Mart 2016

* Bu sorunun yaması Linux'un yukarı akışında mevcuttur.

Sık Sorulan Sorular ve Cevaplar

Bu bölümde, bu bülteni okuduktan sonra karşılaşabileceğiniz genel soruların yanıtları gözden geçirilmektedir.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

01 Mayıs 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir (güvenlik düzeltme eki düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın). Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-05-01]

2. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?

Güvenlik Açığı Ayrıntıları bölümünde, her tabloda, her sorun için güncellenen, etkilenen Nexus cihazlarının aralığını kapsayan Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunun birkaç seçeneği vardır:

  • Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa tablonun Güncellenmiş Nexus cihazları sütununda Tüm Nexus'lar bulunur. Tüm Nexus'lar aşağıdaki desteklenen cihazları içerir: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
  • Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
  • Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmediyse tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.

3. Bu bültende neden CVE-2015-1805 yer alıyor?

CVE-2015-1805 , Android Güvenlik Tavsiyesi—2016-03-18'in Nisan bülteninin yayınlanmasına çok yakın bir zamanda yayınlanması nedeniyle bu bültene dahil edilmiştir. Zaman çizelgesinin kısıtlı olması nedeniyle, cihaz üreticilerine, 01 Nisan 2016 Güvenlik Yaması Düzeyini kullanmaları halinde, CVE-2015-1805 düzeltmesi olmadan, Nexus Güvenlik Bülteni'ndeki ( Nisan 2016) düzeltmeleri gönderme seçeneği sunuldu. 01 Mayıs 2016 Güvenlik Yaması Düzeyinin kullanılabilmesi için düzeltilmesi gerektiğinden tekrar bu bültende yer almaktadır.

Revizyonlar

  • 02 Mayıs 2016: Bülten yayınlandı.
  • 04 Mayıs 2016:
    • Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
    • Nexus Player ve Pixel C'yi içerecek şekilde güncellenen tüm Nexus cihazlarının listesi.
    • CVE-2016-2447, MITRE isteğine göre CVE-2016-4477 olarak güncellendi.