Android Güvenlik Bülteni—Kasım 2016

07 Kasım 2016'da yayınlandı | 21 Aralık 2016'da güncellendi

Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazının donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 06 Kasım 2016 veya sonraki güvenlik düzeltme eki düzeyleri bu sorunların tümüne yöneliktir. Bir cihazın güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Pixel ve Nexus güncelleme planına bakın.

Bültende açıklanan sorunlar 20 Ekim 2016 veya daha önce ortaklara bildirildi. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten aynı zamanda AOSP dışındaki yamalara bağlantılar da içermektedir.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltımları bölümüne bakın.

Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Pixel ve Pixel XL cihazlarının piyasaya sürülmesiyle birlikte Google'ın desteklediği tüm cihazlar için kullanılan terim "Nexus cihazları" yerine "Google cihazları" olarak kullanılmaya başlandı.
  • Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliği sağlamak amacıyla üç güvenlik yaması düzeyi bulunmaktadır. Ek bilgi için Yaygın sorular ve yanıtlara bakın:
    • 2016-11-01 : Kısmi güvenlik yaması düzeyi. Bu güvenlik yaması düzeyi, 2016-11-01 (ve önceki tüm güvenlik yaması düzeyi) ile ilişkili tüm sorunların giderildiğini gösterir.
    • 2016-11-05 : Tam güvenlik yaması düzeyi. Bu güvenlik yaması düzeyi, 2016-11-01 ve 2016-11-05 (ve önceki tüm güvenlik yaması düzeyleri) ile ilişkili tüm sorunların giderildiğini gösterir.
    • Ek güvenlik yaması düzeyleri

      Düzeltme eki düzeyi tanımlandıktan sonra kamuya açıklanan sorunlara yönelik düzeltmeler içeren cihazları tanımlamak için ek güvenlik düzeltme eki düzeyleri sağlanır. Yakın zamanda açıklanan bu güvenlik açıklarının giderilmesi, 2016-12-01 güvenlik yaması düzeyine kadar gerekli değildir.

      • 2016-11-06 : Bu güvenlik yaması düzeyi, cihazın 19 Ekim 2016'da kamuya açıklanan 2016-11-05 ve CVE-2016-5195 ile ilgili tüm sorunları giderdiğini gösterir.
  • Desteklenen Google cihazları, 05 Kasım 2016 güvenlik yaması düzeyine sahip tek bir OTA güncellemesi alacaktır.

Android ve Google hizmet azaltımları

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetlerine sahip cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

  • Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-6722
  • Google'dan Andrei Kapishnikov ve Miriam Gershenson: CVE-2016-6703
  • Ao Wang ( @ArayzSegment ) ve PKAV'dan Zinuo Han , Sessiz Bilgi Teknolojisi: CVE-2016-6700, CVE-2016-6702
  • Güvenlik Platformu Departmanından Askyshang, Tencent: CVE-2016-6713
  • Android Güvenliği'nden Billy Lau: CVE-2016-6737
  • Pire Üniversitesi'nden Constantinos Patsakis ve Efthimios Alepis : CVE-2016-6715
  • Alibaba mobil güvenlik ekibinin dragonltx'i: CVE-2016-6714
  • Project Zero'dan Gal Beniamini: CVE-2016-6707, CVE-2016-6717
  • Gengjia Chen ( @chengjia4574 ) ve IceSword Lab'den pjf , Qihoo 360 Technology Co. Ltd .: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906
  • Alpha Team'den Guang Gong (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd .: CVE-2016-6754
  • Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab'den pjf , Qihoo 360 Technology Co. Ltd .: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-2016-6698
  • Tencent Keen Lab'den Marco Grassi ( @marcograss ) ( @keen_lab ): CVE-2016-6828
  • Project Zero'nun Marka Markası: CVE-2016-6706
  • Google'dan Mark Renouf: CVE-2016-6724
  • Michał Bednarski ( github.com/michalbednarski ): CVE-2016-6710
  • Android Güvenliği'nden Min Chong: CVE-2016-6743
  • Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-6721
  • KeenLab, Tencent'ten Qidan He (何淇丹) ( @flanker_hqd ) ve Gengming Liu (刘耕铭) ( @dmxcsnsbh ): CVE-2016-6705
  • Google'dan Robin Lee: CVE-2016-6708
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-6751
  • Kaspersky Lab'den Sergey Bobrov ( @Black2Fan ): CVE-2016-6716
  • Trend Micro Mobil Tehdit Araştırma Ekibinden Yedi Shen ( @lingtongshen ): CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
  • Vrije Universiteit Amsterdam'dan Victor van der Veen, Herbert Bos, Kaveh Razavi ve Cristiano Giuffrida ve California Üniversitesi, Santa Barbara'dan Yanick Fratantonio, Martina Lindorfer ve Giovanni Vigna: CVE-2016-6728
  • Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
  • Wenke Dou ( vancouverdou@gmail.com ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-6720
  • Trend Micro Inc.'den Wish Wu (吴潍浠) ( @wish_wu ): CVE-2016-6704
  • Nightwatch Siber Güvenlik'ten Yakov Shafranovich: CVE-2016-6723
  • C0RE Ekibinden Yuan-Tsung Lo , Yao Jun , Tong Lin , Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
  • Yuan-Tsung Lo , Yao Jun , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746

Bu bültendeki çeşitli konulara yaptığı katkılardan dolayı Android Security'den Zach Riggle'a ayrıca teşekkür ederiz.

2016-11-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-11-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Mediaserver'da uzaktan kod yürütme güvenlik açığı

Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak sağlayabilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6699 A-31373622 Kritik Tüm 7.0 27 Temmuz 2016

Libzip dosyasında ayrıcalık yükselmesi güvenlik açığı

Libzip dosyasındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6700 A-30916186 Kritik Hiçbiri* 4.4.4, 5.0.2, 5.1.1 17 Ağustos 2016

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Skia'da uzaktan kod yürütme güvenlik açığı

Libskia'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak verebilir. Bu sorun, galeri süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6701 A-30190637 Yüksek Tüm 7.0 Google dahili

Libjpeg'de uzaktan kod yürütme güvenlik açığı

Libjpeg'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı olmayan bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, libjpeg kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6702 A-30259087 Yüksek Hiçbiri* 4.4.4, 5.0.2, 5.1.1 19 Temmuz 2016

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Android çalışma zamanında uzaktan kod yürütme güvenlik açığı

Android çalışma zamanı kitaplığında bulunan bir uzaktan kod yürütme güvenlik açığı, bir saldırganın özel hazırlanmış bir veri yükü kullanarak ayrıcalıklı olmayan bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, Android çalışma zamanını kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6703 A-30765246 Yüksek Hiçbiri* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6704 A-30229821 [ 2 ] [ 3 ] Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 19 Temmuz 2016
CVE-2016-6705 A-30907212 [ 2 ] Yüksek Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 Ağustos 2016
CVE-2016-6706 A-31385713 Yüksek Tüm 7.0 8 Eylül 2016

Sistem Sunucusunda ayrıcalık yükselmesi güvenlik açığı

Sistem Sunucusu'ndaki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6707 A-31350622 Yüksek Tüm 6.0, 6.0.1, 7.0 7 Eylül 2016

Sistem kullanıcı arayüzünde ayrıcalık yükselmesi güvenlik açığı

Sistem Kullanıcı Arayüzünde ayrıcalık yükselmesi, yerel kötü niyetli bir kullanıcının Çoklu Pencere modundaki bir iş profilinin güvenlik istemini atlamasına olanak tanıyabilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğundan Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6708 A-30693465 Yüksek Tüm 7.0 Google dahili

Conscrypt'te bilgilerin açığa çıkması güvenlik açığı

Conscrypt'teki bilgilerin açığa çıkması güvenlik açığı, bir uygulama tarafından eski bir şifreleme API'sinin kullanılması durumunda bir saldırganın hassas bilgilere erişmesine olanak tanıyabilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6709 A-31081987 Yüksek Tüm 6.0, 6.0.1, 7.0 9 Ekim 2015

İndirme yöneticisinde bilgilerin açığa çıkması güvenlik açığı

İndirme yöneticisindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın erişim sahibi olmadığı verilere erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6710 A-30537115 [ 2 ] Yüksek Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 30 Temmuz 2016

Bluetooth'ta hizmet reddi güvenlik açığı

Bluetooth'taki hizmet reddi güvenlik açığı, yakındaki bir saldırganın etkilenen cihaza Bluetooth erişimini engellemesine olanak tanıyabilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2014-9908 A-28672558 Yüksek Hiçbiri* 4.4.4, 5.0.2, 5.1.1 5 Mayıs 2014

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

OpenJDK'da hizmet reddi güvenlik açığı

OpenJDK'deki uzaktan hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2015-0410 A-30703445 Yüksek Tüm 7.0 16 Ocak 2015

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki uzaktan hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6711 A-30593765 Yüksek Hiçbiri* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 Ağu 2016
CVE-2016-6712 A-30593752 Yüksek Hiçbiri* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 Ağu 2016
CVE-2016-6713 A-30822755 Yüksek Tüm 6.0, 6.0.1, 7.0 11 Ağu 2016
CVE-2016-6714 A-31092462 Yüksek Tüm 6.0, 6.0.1, 7.0 22 Ağustos 2016

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı

Çerçeve API'lerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın kullanıcının izni olmadan ses kaydetmesine olanak verebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin (normalde kullanıcı girişimi veya kullanıcı izni gerektiren işlevselliğe erişim) yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6715 A-29833954 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 Haziran 2016

AOSP Başlatıcı'da ayrıcalık yükselmesi güvenlik açığı

AOSP Başlatıcısı'ndaki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın kullanıcının izni olmadan yükseltilmiş ayrıcalıklara sahip kısayollar oluşturmasına olanak verebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin (normalde kullanıcı girişimi veya kullanıcı izni gerektiren işlevselliğe erişim) yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6716 A-30778130 Ilıman Tüm 7.0 5 Ağu 2016

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrı bir güvenlik açığından yararlanılmasını gerektirdiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6717 A-31350239 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 7 Eylül 2016

Hesap Yöneticisi Hizmetinde ayrıcalık yükselmesi güvenlik açığı

Hesap Yöneticisi Hizmeti'ndeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, kullanıcı etkileşimi olmadan hassas bilgileri almasına olanak sağlayabilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin (normalde kullanıcı girişimi veya kullanıcı izni gerektiren işlevselliğe erişim) yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6718 A-30455516 Ilıman Tüm 7.0 Google dahili

Bluetooth'ta ayrıcalık yükselmesi güvenlik açığı

Bluetooth bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın kullanıcının izni olmadan herhangi bir Bluetooth cihazıyla eşleşmesine olanak sağlayabilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin (normalde kullanıcı girişimi veya kullanıcı izni gerektiren işlevselliğe erişim) yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6719 A-29043989 [ 2 ] Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google dahili

Mediaserver'da bilgilerin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6720 A-29422020 [ 2 ] [ 3 ] [ 4 ] Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 Haziran 2016
CVE-2016-6721 A-30875060 Ilıman Tüm 6.0, 6.0.1, 7.0 13 Ağustos 2016
CVE-2016-6722 A-31091777 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 23 Ağustos 2016

Proxy Otomatik Yapılandırmasında hizmet reddi güvenlik açığı

Proxy Otomatik Yapılandırmasındaki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, alışılmadık bir cihaz yapılandırması gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6723 A-30100884 [ 2 ] Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 11 Temmuz 2016

Giriş Yöneticisi Hizmetinde hizmet reddi güvenlik açığı

Giriş Yöneticisi Hizmeti'ndeki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın cihazın sürekli olarak yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, düzeltilmesi için fabrika ayarlarına sıfırlama gerektiren geçici bir hizmet reddi olduğundan Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6724 A-30568284 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 Google dahili

2016-11-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-11-05 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Qualcomm kripto sürücüsünde uzaktan kod yürütme güvenlik açığı

Qualcomm kripto sürücüsündeki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, çekirdek bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6725 A-30515053
QC-CR#1050970
Kritik Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 25 Temmuz 2016

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2015-8961 A-30952474
Yukarı akış çekirdeği
Kritik Piksel, Piksel XL 18 Ekim 2015
CVE-2016-7911 A-30946378
Yukarı akış çekirdeği
Kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 01 Temmuz 2016
CVE-2016-7910 A-30942273
Yukarı akış çekirdeği
Kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 29 Temmuz 2016

Çekirdek SCSI sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek SCSI sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2015-8962 A-30951599
Yukarı akış çekirdeği
Kritik Piksel, Piksel XL 30 Ekim 2015

Çekirdek ortam sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ortam sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-7913 A-30946097
Yukarı akış çekirdeği
Kritik Nexus 6P, Android One, Nexus Oynatıcı, Piksel, Piksel XL 28 Ocak 2016

Çekirdek USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek USB sürücüsündeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-7912 A-30950866
Yukarı akış çekirdeği
Kritik Piksel C, Piksel, Piksel XL 14 Nis 2016

Çekirdek ION alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ION alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6728 A-30400942* Kritik Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Oynatıcı, Pixel C, Android One 25 Temmuz 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Qualcomm önyükleyicisinde ayrıcalık yükselmesi güvenlik açığı

Qualcomm önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6729 A-30977990*
QC-CR#977684
Kritik Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 25 Temmuz 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6730 A-30904789*
N-CVE-2016-6730
Kritik Piksel C 16 Ağustos 2016
CVE-2016-6731 A-30906023*
N-CVE-2016-6731
Kritik Piksel C 16 Ağustos 2016
CVE-2016-6732 A-30906599*
N-CVE-2016-6732
Kritik Piksel C 16 Ağustos 2016
CVE-2016-6733 A-30906694*
N-CVE-2016-6733
Kritik Piksel C 16 Ağustos 2016
CVE-2016-6734 A-30907120*
N-CVE-2016-6734
Kritik Piksel C 16 Ağustos 2016
CVE-2016-6735 A-30907701*
N-CVE-2016-6735
Kritik Piksel C 16 Ağustos 2016
CVE-2016-6736 A-30953284*
N-CVE-2016-6736
Kritik Piksel C 18 Ağustos 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağı alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6828 A-31183296
Yukarı akış çekirdeği
Kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 18 Ağustos 2016

Çekirdek ses alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ses alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-2184 A-30952477
Yukarı akış çekirdeği
Kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 31 Mart 2016

Çekirdek ION alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ION alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6737 A-30928456* Kritik Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL Google dahili

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki tablo, Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir ve Qualcomm AMSS Haziran 2016 güvenlik bülteninde ve Güvenlik Uyarısı 80-NV606-17'de daha ayrıntılı olarak açıklanmaktadır.

CVE Referanslar Şiddet* Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6727 A-31092400** Kritik Android Bir Qualcomm dahili
CVE-2016-6726 A-30775830** Yüksek Nexus 6, Android Bir Qualcomm dahili

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.

** Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Expat'ta uzaktan kod yürütme güvenlik açığı

Aşağıdaki tabloda Expat kütüphanesini etkileyen güvenlik açıkları yer almaktadır. Bu sorunlardan en ciddi olanı, Expat XML ayrıştırıcısındaki ayrıcalık yükselmesi güvenlik açığıdır; bu güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı olmayan bir süreçte rasgele kod yürütmesine olanak verebilir. Bu sorun, Expat kullanan bir uygulamada rastgele kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-0718 A-28698301 Yüksek Hiçbiri* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 Mayıs 2016
CVE-2012-6702 A-29149404 Ilıman Hiçbiri* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 06 Mart 2016
CVE-2016-5300 A-29149404 Ilıman Hiçbiri* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 04 Haziran 2016
CVE-2015-1283 A-27818751 Düşük Hiçbiri* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 Temmuz 2015

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Web görünümünde uzaktan kod yürütme güvenlik açığı

Webview'deki uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın, kullanıcı bir web sitesinde gezinirken rasgele kod yürütmesine olanak sağlayabilir. Ayrıcalıksız bir süreçte uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-6754 A-31217937 Yüksek Hiçbiri* 5.0.2, 5.1.1, 6.0, 6.0.1 23 Ağustos 2016

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Freetype'ta uzaktan kod yürütme güvenlik açığı

Freetype'taki bir uzaktan kod yürütme güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı olmayan bir işlemde bellek bozulmasına neden olacak şekilde özel hazırlanmış bir yazı tipi yüklemesine olanak sağlayabilir. Freetype kullanan uygulamalarda uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2014-9675 A-24296662 [ 2 ] Yüksek Hiçbiri* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2015-8963 A-30952077
Yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 15 Aralık 2015

Çekirdek sistem çağrısı denetim alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek sistem çağrısı denetim alt sistemindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdekteki sistem çağrısı denetimini kesintiye uğratmasına olanak sağlayabilir. Bu sorun, derinlemesine çekirdek düzeyinde savunmaya yönelik genel bir bypass olduğundan veya azaltma teknolojisinden yararlanıldığından Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6136 A-30956807
Yukarı akış çekirdeği
Yüksek Android One, Pixel C, Nexus Oynatıcı 1 Temmuz 2016

Qualcomm kripto motoru sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kripto motoru sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6738 A-30034511
QC-CR#1050538
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 7 Temmuz 2016

Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6739 A-30074605*
QC-CR#1049826
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 11 Temmuz 2016
CVE-2016-6740 A-30143904
QC-CR#1056307
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 12 Temmuz 2016
CVE-2016-6741 A-30559423
QC-CR#1060554
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 28 Temmuz 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Qualcomm veri yolu sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm veri yolu sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-3904 A-30311977
QC-CR#1050455
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 22 Temmuz 2016

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6742 A-30799828* Yüksek Nexus 5X, Android One 9 Ağustos 2016
CVE-2016-6744 A-30970485* Yüksek Nexus5X 19 Ağustos 2016
CVE-2016-6745 A-31252388* Yüksek Nexus 5X, Nexus 6P, Nexus 9, Android One, Piksel, Piksel XL 1 Eylül 2016
CVE-2016-6743 A-30937462* Yüksek Nexus 9, Android Bir Google dahili

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Çekirdek bileşenlerinde bilginin açığa çıkması güvenlik açığı

İnsan arabirimi aygıt sürücüsü, dosya sistemi ve Teletype sürücüsü de dahil olmak üzere çekirdek bileşenlerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2015-8964 A-30951112
Yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 27 Kasım 2015
CVE-2016-7915 A-30951261
Yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 19 Ocak 2016
CVE-2016-7914 A-30513364
Yukarı akış çekirdeği
Yüksek Piksel C, Piksel, Piksel XL 06 Nis 2016
CVE-2016-7916 A-30951939
Yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 05 Mayıs 2016

NVIDIA GPU sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

NVIDIA GPU sürücüsündeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6746 A-30955105*
N-CVE-2016-6746
Yüksek Piksel C 18 Ağustos 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6747 A-31244612*
N-CVE-2016-6747
Yüksek Nexus 9 Google dahili

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Çekirdek bileşenlerinde bilginin açığa çıkması güvenlik açığı

Süreç gruplandırma alt sistemi ve ağ alt sistemi de dahil olmak üzere çekirdek bileşenlerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-7917 A-30947055
Yukarı akış çekirdeği
Ilıman Piksel C, Piksel, Piksel XL 02 Şubat 2016
CVE-2016-6753 A-30149174* Ilıman Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 13 Temmuz 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

Qualcomm bileşenlerinde bilgilerin açığa çıkması güvenlik açığı

GPU sürücüsü, güç sürücüsü, SMSM Noktadan Noktaya sürücüsü ve ses sürücüsü de dahil olmak üzere Qualcomm bileşenlerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-6748 A-30076504
QC-CR#987018
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 12 Temmuz 2016
CVE-2016-6749 A-30228438
QC-CR#1052818
Ilıman Nexus 5X, Nexus 6P, Piksel, Piksel XL 12 Temmuz 2016
CVE-2016-6750 A-30312054
QC-CR#1052825
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 21 Temmuz 2016
CVE-2016-3906 A-30445973
QC-CR#1054344
Ilıman Nexus 5X, Nexus 6P 27 Temmuz 2016
CVE-2016-3907 A-30593266
QC-CR#1054352
Ilıman Nexus 5X, Nexus 6P, Piksel, Piksel XL 2 Ağu 2016
CVE-2016-6698 A-30741851
QC-CR#1058826
Ilıman Nexus 5X, Nexus 6P, Android One, Piksel, Piksel XL 2 Ağu 2016
CVE-2016-6751 A-30902162*
QC-CR#1062271
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 15 Ağu 2016
CVE-2016-6752 A-31498159
QC-CR#987051
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL Google dahili

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme , Google Developer sitesinden Google cihazlarına yönelik en son ikili program sürücülerinde bulunmaktadır.

2016-11-06 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-11-06 güvenlik yaması düzeyinde (yukarıdaki Güvenlik Açığı özeti) listelenen güvenlik açıklarının her biri için ayrıntılı bilgi sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Çekirdek bellek alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek bellek alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

Not: 2016-11-06 güvenlik yaması düzeyi, bu sorunun yanı sıra 2016-11-01 ve 2016-11-05 ile ilişkili tüm sorunların giderildiğini gösterir.

CVE Referanslar Şiddet Güncellenmiş çekirdek sürümleri Bildirilme tarihi
CVE-2016-5195 A-32141528
Yukarı akış çekirdeği [ 2 ]
Kritik 3.10, 3.18 12 Ekim 2016

Sık Sorulan Sorular ve Cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

Bir cihazın güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Pixel ve Nexus güncelleme planındaki talimatları okuyun.

  • 2016-11-01 veya sonraki güvenlik yaması düzeyleri, 2016-11-01 güvenlik yaması düzeyiyle ilişkili tüm sorunları giderir.
  • 2016-11-05 veya sonraki güvenlik yaması düzeyleri, 2016-11-05 güvenlik yaması düzeyi ve önceki tüm yama düzeyleriyle ilişkili tüm sorunları giderir.
  • 2016-11-06 veya sonraki güvenlik yaması düzeyleri, 2016-11-06 güvenlik yaması düzeyi ve önceki tüm yama düzeyleriyle ilişkili tüm sorunları giderir.

Bu güncellemeleri içeren cihaz üreticileri yama düzeyi dizesini şu şekilde ayarlamalıdır:

  • [ro.build.version.security_patch]:[2016-11-01]
  • [ro.build.version.security_patch]:[2016-11-05]
  • [ro.build.version.security_patch]:[2016-11-06].

2. Bu bültende neden üç güvenlik yaması düzeyi var?

Bu bültenin üç güvenlik düzeltme eki düzeyi vardır; böylece Android iş ortakları, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahip olur. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyini kullanmaları önerilir.

  • 1 Kasım 2016 güvenlik yaması düzeyini kullanan cihazlar, önceki güvenlik bültenlerinde bildirilen tüm sorunlara yönelik düzeltmelerin yanı sıra, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları da içermelidir.
  • 5 Kasım 2016 veya daha yeni bir güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
  • 6 Kasım 2016 veya daha yeni bir güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.

İş ortaklarının, ele aldıkları tüm sorunlara yönelik düzeltmeleri tek bir güncellemede toplamaları önerilir.

3. Her sorundan hangi Google cihazlarının etkilendiğini nasıl belirlerim?

2016-11-01 , 2016-11-05 ve 2016-11-06 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen, etkilenen Google cihazlarının aralığını kapsayan bir Güncellenmiş Google cihazları sütunu bulunur. Bu sütunun birkaç seçeneği vardır:

  • Tüm Google cihazları : Bir sorun tüm Nexus ve Pixel cihazlarını etkiliyorsa tablonun Güncellenen Google cihazları sütununda "Tümü" ifadesi görünür. "Tümü" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ve Pixel XL.
  • Bazı Google cihazları : Bir sorun tüm Google cihazlarını etkilemiyorsa etkilenen Google cihazları Güncellenen Google cihazları sütununda listelenir.
  • Google cihazı yok : Android 7.0 çalıştıran hiçbir Google cihazı bu sorundan etkilenmezse, tablonun Güncellenen Google cihazları sütununda "Yok" ifadesi görünür.

4. Referanslar sütunundaki girişler neyle eşleşiyor?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler aşağıdaki gibi eşlenir:

Önek Referans
A- Android hata kimliği
Kalite kontrol- Qualcomm referans numarası
M- MediaTek referans numarası
N- NVIDIA referans numarası
B- Broadcom referans numarası

Revizyonlar

  • 07 Kasım 2016: Bülten yayınlandı.
  • 08 Kasım: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi ve CVE-2016-6709 için güncellenmiş açıklama.
  • 17 Kasım: Bülten, CVE-2016-6828'e ilişkin atıfları içerecek şekilde revize edildi.
  • 21 Aralık: Araştırmacı kredisi güncellendi.