Android Güvenlik Bülteni—Ağustos 2016

01 Ağustos 2016 tarihinde yayınlandı | 21 Ekim 2016'da güncellendi

Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Ağustos 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir. Güvenlik düzeltme eki düzeyini nasıl kontrol edeceğinizi öğrenmek için belgelere bakın.

Ortaklar, bültende açıklanan sorunlar hakkında 06 Temmuz 2016 veya daha önce bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.

Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.

Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltma bölümüne bakın.

Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Bülten, CVE-2016-3856'yı CVE-2016-2060'a düzeltmek için revize edildi.
  • Bu bülten, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını düzeltmek için daha hızlı hareket etme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyinde dizeye sahiptir. Ek bilgi için Genel sorular ve yanıtlara bakın:
    • 2016-08-01 : Kısmi güvenlik düzeltme eki düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-08-01 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
    • 2016-08-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-08-01 ve 2016-08-05 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
  • Desteklenen Nexus cihazları, 05 Ağustos 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacak.

Android ve Google hizmeti azaltmaları

Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirildi. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:

Copperhead Security'den Daniel Micay, Google'dan Jeff Vander Stoep ve Yabin Cui'ye, CVE-2016-3843 gibi bir dizi güvenlik açığını azaltmaya yönelik platform düzeyinde güncellemelere katkılarından dolayı teşekkür ederiz. Bu azaltma, Grsecurity'den Brad Spengler'in çalışmasına dayanmaktadır.

2016-08-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-08-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

Mediaserver'da uzaktan kod yürütme güvenlik açığı

Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3819 A-28533562 kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 Mayıs 2016
CVE-2016-3820 A-28673410 kritik Tüm Bağlantılar 6.0, 6.0.1 6 Mayıs 2016
CVE-2016-3821 A-28166152 kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

libjhead'de uzaktan kod yürütme güvenlik açığı

libjhead'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan uygulamalarda uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3822 A-28868315 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3823 A-28815329 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 Mayıs 2016
CVE-2016-3824 A-28816827 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 Mayıs 2016
CVE-2016-3825 A-28816964 Yüksek Tüm Bağlantılar 5.0.2, 5.1.1, 6.0, 6.0.1 17 Mayıs 2016
CVE-2016-3826 A-29251553 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 Haz 2016

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosya kullanarak aygıtın askıda kalmasına veya yeniden başlatılmasına neden olabilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3827 A-28816956 Yüksek Tüm Bağlantılar 6.0.1 16 Mayıs 2016
CVE-2016-3828 A-28835995 Yüksek Tüm Bağlantılar 6.0, 6.0.1 17 Mayıs 2016
CVE-2016-3829 A-29023649 Yüksek Tüm Bağlantılar 6.0, 6.0.1 27 Mayıs 2016
CVE-2016-3830 A-29153599 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

Sistem saatinde hizmet reddi güvenlik açığı

Sistem saatindeki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın aygıtı çökertmesine olanak verebilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3831 A-29083635 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 31 Mayıs 2016

Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı

Çerçeve API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, uygulamanın izin düzeylerinin dışındaki verilere erişim sağlamak için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3832 A-28795098 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 Mayıs 2016

Shell'de ayrıcalık yükselmesi güvenlik açığı

Shell'de bir ayrıcalık yükselmesi, yerel bir kötü amaçlı uygulamanın, kullanıcı kısıtlamaları gibi cihaz kısıtlamalarını atlamasına olanak sağlayabilir. Bu sorun, kullanıcı izinlerinin yerel olarak atlanması olduğu için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3833 A-29189712 [ 2 ] Ilıman Tüm Bağlantılar 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

OpenSSL'de bilginin açığa çıkması güvenlik açığı

OpenSSL'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2842 A-29060514 Hiçbiri* Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1 29 Mart 2016

* Mevcut tüm güncellemeleri yükleyen desteklenen Nexus cihazları bu güvenlik açığından etkilenmez

Kamera API'lerinde bilginin açığa çıkması güvenlik açığı

Kamera API'lerinde bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki veri yapılarına erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3834 A-28466701 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Nis 2016

Mediaserver'da bilginin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3835 A-28920116 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 Mayıs 2016

SurfaceFlinger'da bilginin açığa çıkması güvenlik açığı

SurfaceFlinger hizmetindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3836 A-28592402 Ilıman Tüm Bağlantılar 5.0.2, 5.1.1, 6.0, 6.0.1 4 Mayıs 2016

Wi-Fi'de bilginin açığa çıkması güvenlik açığı

Wi-Fi'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine izin verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3837 A-28164077 Ilıman Tüm Bağlantılar 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

Sistem kullanıcı arabiriminde hizmet reddi güvenlik açığı

Sistem kullanıcı arabirimindeki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın kilitli bir ekrandan 911 çağrısını engellemesine olanak verebilir. Bu sorun, kritik bir işlevde hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3838 A-28761672 Ilıman Tüm Bağlantılar 6.0, 6.0.1 Google dahili

Bluetooth'ta hizmet reddi güvenlik açığı

Bluetooth'taki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın bir Bluetooth cihazından 911 aramasını engellemesine olanak verebilir. Bu sorun, kritik bir işlevde hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3839 A-28885210 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

2016-08-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-08-05 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

Qualcomm Wi-Fi sürücüsünde uzaktan kod yürütme güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, yerel kalıcı bir cihaz güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2014-9902 A-28668638

KK-CR#553937
KK-CR#553941

kritik Nexus 7 (2013) 31 Mart 2014

Conscrypt'te uzaktan kod yürütme güvenlik açığı

Conscrypt'teki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3840 A-2875153 kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

Qualcomm bileşenlerinde ayrıcalık yükselmesi güvenlik açığı

Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.

Bu sorunların en şiddetlisi, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütme olasılığı nedeniyle, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel bir kalıcı aygıt güvenliği ihlaline yol açma olasılığı nedeniyle Kritik olarak derecelendirilir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2014-9863 A-28768146

QC-CR#549470

kritik Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9864 A-28747998

QC-CR#561841

Yüksek Nexus 5, Nexus 7 (2013) 27 Mart 2014
CVE-2014-9865 A-28748271

KK-CR#550013

Yüksek Nexus 5, Nexus 7 (2013) 27 Mart 2014
CVE-2014-9866 A-28747684

KK-CR#511358

Yüksek Nexus 5, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9867 A-28749629

QC-CR#514702

Yüksek Nexus 5, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9868 A-28749721

QC-CR#511976

Yüksek Nexus 5, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9869 A-28749728

QC-CR#514711 [ 2 ]

Yüksek Nexus 5, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9870 A-28749743

KK-CR#561044

Yüksek Nexus 5, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9871 A-28749803

QC-CR#514717

Yüksek Nexus 5, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9872 A-28750155

QC-CR#590721

Yüksek Nexus 5 31 Mart 2014
CVE-2014-9873 A-28750726

KK-CR#556860

Yüksek Nexus 5, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9874 A-28751152

QC-CR#563086

Yüksek Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9875 A-28767589

KK-CR#483310

Yüksek Nexus 7 (2013) 30 Nis 2014
CVE-2014-9876 A-28767796

KK-CR#483408

Yüksek Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9877 A-28768281

QC-CR#547231

Yüksek Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9878 A-28769208

QC-CR#547479

Yüksek Nexus 5 30 Nis 2014
CVE-2014-9879 A-2876921

KK-CR#524490

Yüksek Nexus 5 30 Nis 2014
CVE-2014-9880 A-28769352

KK-CR#556356

Yüksek Nexus 7 (2013) 30 Nis 2014
CVE-2014-9881 A-28769368

QC-CR#539008

Yüksek Nexus 7 (2013) 30 Nis 2014
CVE-2014-9882 A-28769546

QC-CR#552329 [ 2 ]

Yüksek Nexus 7 (2013) 30 Nis 2014
CVE-2014-9883 A-28769912

QC-CR#565160

Yüksek Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9884 A-28769920

KK-CR#580740

Yüksek Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9885 A-28769959

KK-CR#562261

Yüksek Nexus 5 30 Nis 2014
CVE-2014-9886 A-28815575

KK-CR#555030

Yüksek Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9887 A-2884057

QC-CR#636633

Yüksek Nexus 5, Nexus 7 (2013) 3 Tem 2014
CVE-2014-9888 A-28803642

KK-CR#642735

Yüksek Nexus 5, Nexus 7 (2013) 29 Ağu 2014
CVE-2014-9889 A-28803645

QC-CR#674712

Yüksek Nexus 5 31 Ekim 2014
CVE-2015-8937 A-28803962

QC-CR#770548

Yüksek Nexus 5, Nexus 6, Nexus 7 (2013) 31 Mart 2015
CVE-2015-8938 A-28804030

QC-CR#766022

Yüksek Bağlantı Noktası 6 31 Mart 2015
CVE-2015-8939 A-28398884

QC-CR#779021

Yüksek Nexus 7 (2013) 30 Nis 2015
CVE-2015-8940 A-28813987

QC-CR#792367

Yüksek Bağlantı Noktası 6 30 Nis 2015
CVE-2015-8941 A-28814502

QC-CR#792473

Yüksek Nexus 6, Nexus 7 (2013) 29 Mayıs 2015
CVE-2015-8942 A-28814652

QC-CR#803246

Yüksek Bağlantı Noktası 6 30 Haz 2015
CVE-2015-8943 A-28815158

QC-CR#794217

QC-CR#836226

Yüksek Nexus 5 11 Eylül 2015
CVE-2014-9891 A-28749283

KK-CR#550061

Ilıman Nexus 5 13 Mart 2014
CVE-2014-9890 A-28770207

QC-CR#529177

Ilıman Nexus 5, Nexus 7 (2013) 2 Haz 2014

Çekirdek ağ bileşeninde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağ bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2015-2686 A-28759139

yukarı akış çekirdeği

kritik Tüm Bağlantılar 23 Mart 2015
CVE-2016-3841 A-28746669

yukarı akış çekirdeği

kritik Tüm Bağlantılar 3 Ara 2015

Qualcomm GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2504 A-28026365

QC-CR#1002974

kritik Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 5 Nis 2016
CVE-2016-3842 A-28377352

QC-CR#1002974

kritik Nexus 5X, Nexus 6, Nexus 6P 25 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm performans bileşeninde ayrıcalık yükselmesi güvenlik açığı

Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

Not: Bu bültende A-29119870 kapsamında, bu güvenlik açıkları sınıfını azaltmak için tasarlanmış platform düzeyinde bir güncelleme de bulunmaktadır.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3843 A-28086229*

QC-CR#1011071

kritik Nexus 5X, Nexus 6P 7 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdekte ayrıcalık yükselmesi güvenlik açığı

Çekirdekteki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3857 A-28522518* kritik Nexus 7 (2013) 2 Mayıs 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek bellek sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek bellek sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2015-1593 A-29577822

yukarı akış çekirdeği

Yüksek Nexus Oynatıcı 13 Şub 2015
CVE-2016-3672 A-28763575

yukarı akış çekirdeği

Yüksek Nexus Oynatıcı 25 Mart 2016

Çekirdek ses bileşeninde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ses bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2544 A-28695438

yukarı akış çekirdeği

Yüksek Tüm Bağlantılar 19 Oca 2016
CVE-2016-2546 A-28694392

yukarı akış çekirdeği

Yüksek Piksel C 19 Oca 2016
CVE-2014-9904 A-28592007

yukarı akış çekirdeği

Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı 4 Mayıs 2016

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2012-6701 A-28939037

yukarı akış çekirdeği

Yüksek Nexus 5, Nexus 7 (2013) 2 Mart 2016

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3844 A-28299517*

N-CVE-2016-3844

Yüksek Nexus 9, Piksel C 19 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3845 A-28399876* Yüksek Nexus 5 20 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Seri Çevresel Arabirim sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Seri Çevresel Arabirim sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3846 A-28817378* Yüksek Nexus 5X, Nexus 6P 17 Mayıs 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

NVIDIA medya sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA medya sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3847 A-28871433*

N-CVE-2016-3847

Yüksek Bağlantı Noktası 9 19 Mayıs 2016
CVE-2016-3848 A-28919417*

N-CVE-2016-3848

Yüksek Bağlantı Noktası 9 19 Mayıs 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

ION sürücüsünde ayrıcalık yükselmesi güvenlik açığı

ION sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3849 A-28939740 Yüksek Piksel C 24 Mayıs 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm önyükleyicide ayrıcalık yükselmesi güvenlik açığı

Qualcomm önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3850 A-27917291

QC-CR#945164

Yüksek Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) 28 Mart 2016

Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek performans alt sistemindeki ayrıcalık güvenlik açıklarının yükseltilmesi, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, saldırganların yararlanabileceği çekirdek saldırı yüzeyi nedeniyle Yüksek olarak derecelendirilmiştir.

Not: Bu, CVE-2016-3843 (A-28086229) gibi bir güvenlik açığı sınıfını azaltmak için tasarlanmış platform düzeyinde bir güncellemedir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3843 A-29119870* Yüksek Tüm Bağlantılar 6.0, 6.1 Google dahili

* Bu sorun için bir yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

LG Electronics önyükleyicisinde ayrıcalık yükselmesi güvenlik açığı

LG Electronics önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, bir saldırganın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3851 A-29189941* Yüksek Nexus 5X Google dahili

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm bileşenlerinde bilgi ifşa güvenlik açığı

Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.

Bu sorunların en şiddetlisi, yerel bir kötü amaçlı uygulamanın, hassas veriler gibi izin düzeylerinin dışındaki verilere açık kullanıcı izni olmadan erişme olasılığı nedeniyle Yüksek olarak derecelendirilir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2014-9892 A-28770164

QC-CR#568717

Yüksek Nexus 5, Nexus 7 (2013) 2 Haz 2014
CVE-2015-8944 A-28814213

QC-CR#786116

Yüksek Nexus 6, Nexus 7 (2013) 30 Nis 2015
CVE-2014-9893 A-28747914

QC-CR#542223

Ilıman Nexus 5 27 Mart 2014
CVE-2014-9894 A-28749708

QC-CR#545736

Ilıman Nexus 7 (2013) 31 Mart 2014
CVE-2014-9895 A-28750150

QC-CR#570757

Ilıman Nexus 5, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9896 A-28767593

QC-CR#551795

Ilıman Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9897 A-28769856

QC-CR#563752

Ilıman Nexus 5 30 Nis 2014
CVE-2014-9898 A-28814690

KK-CR#554575

Ilıman Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9899 A-28803909

KK-CR#547910

Ilıman Nexus 5 3 Tem 2014
CVE-2014-9900 A-28803952

QC-CR#570754

Ilıman Nexus 5, Nexus 7 (2013) 8 Ağu 2014

Çekirdek zamanlayıcıda bilginin açığa çıkması güvenlik açığı

Çekirdek zamanlayıcıdaki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2014-9903 A-28731691

yukarı akış çekirdeği

Yüksek Nexus 5X, Nexus 6P 21 Şubat 2014

MediaTek Wi-Fi sürücüsünde bilginin açığa çıkması güvenlik açığı (cihaza özel)

MediaTek Wi-Fi sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3852 A-29141147*

M-ALPS02751738

Yüksek Android Bir 12 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

USB sürücüsünde bilginin açığa çıkması güvenlik açığı

An information disclosure vulnerability in the USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-4482 A-28619695

Upstream kernel

High All Nexus May 3, 2016

Denial of service vulnerability in Qualcomm components

The table below contains security vulnerabilities affecting Qualcomm components, potentially including the Wi-Fi driver.

The most severe of these issues is rated as High due to the possibility that an attacker could cause a temporary remote denial of service resulting in a device hang or reboot.

CVE References Severity Updated Nexus devices Date reported
CVE-2014-9901 A-28670333

QC-CR#548711

High Nexus 7 (2013) Mar 31, 2014

Elevation of privilege vulnerability in Google Play services

An elevation of privilege vulnerability in Google Play services could allow a local attacker to bypass the Factory Reset Protection and gain access to the device. This is rated as Moderate due to the possibility of bypassing Factory Reset Protection, which could lead to successfully resetting the device and erasing all its data.

CVE References Severity Updated Nexus devices Updated AOSP versions Date reported
CVE-2016-3853 A-26803208* Moderate All Nexus Hiçbiri May 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Framework APIs

An elevation of privilege vulnerability in the framework APIs could enable a pre-installed application to increase its intent filter priority when the application is being updated without the user being notified. This issue is rated as Moderate because it could be used to gain elevated capabilities without explicit user permission.

CVE References Severity Updated Nexus devices Updated AOSP versions Date reported
CVE-2016-2497 A-27450489 Moderate All Nexus 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google internal

Information disclosure vulnerability in kernel networking component

An information disclosure vulnerability in the kernel networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-4486 A-28620102

Upstream kernel

Moderate All Nexus May 3, 2016

Information disclosure vulnerability in kernel sound component

An information disclosure vulnerability in the kernel sound component could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-4569 A-28980557

Upstream kernel

Moderate All Nexus May 9, 2016
CVE-2016-4578 A-28980217

Upstream kernel [ 2 ]

Moderate All Nexus May 11, 2016

Vulnerabilities in Qualcomm components

The table below contains security vulnerabilities affecting Qualcomm components, potentially including the bootloader, camera driver, character driver, networking, sound driver, and video driver.

CVE References Severity Updated Nexus devices Date reported
CVE-2016-3854 QC-CR#897326 High Hiçbiri Feb 2016
CVE-2016-3855 QC-CR#990824 High Hiçbiri May 2016
CVE-2016-2060 QC-CR#959631 Moderate Hiçbiri Apr 2016

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

Security Patch Levels of 2016-08-01 or later address all issues associated with the 2016-08-01 security patch string level. Security Patch Levels of 2016-08-05 or later address all issues associated with the 2016-08-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-08-01] or [ro.build.version.security_patch]:[2016-08-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of August 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the August 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use August 1, 2016 security patch level may also include a subset of fixes associated with the August 5, 2016 security patch level.

3 . How do I determine which Nexus devices are affected by each issue?

In the 2016-08-01 and 2016-08-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number

Revisions

  • August 01, 2016: Bulletin published.
  • August 02, 2016: Bulletin revised to include AOSP links.
  • August 16, 2016: CVE-2016-3856 corrected to CVE-2016-2060 and updated the reference URL.
  • October 21, 2016: Corrected typo in CVE-2016-4486.