Android Güvenlik Bülteni—Ocak 2017

03 Ocak 2017'de yayınlandı | 2 Şubat 2017'de güncellendi

Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazının donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 05 Ocak 2017 veya sonraki güvenlik düzeltme eki düzeyleri bu sorunların tümüne yöneliktir. Bir cihazın güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Pixel ve Nexus güncelleme planına bakın.

Bültende açıklanan hususlar 05 Aralık 2016 veya öncesinde ortaklara bildirildi. Bu sorunlara ilişkin kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlandı ve bu bültenden bağlantı verildi. Bu bülten aynı zamanda AOSP dışındaki yamalara bağlantılar da içermektedir.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltımları bölümüne bakın.

Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi bulunmaktadır. Ek bilgi için Yaygın sorular ve yanıtlara bakın:
    • 2017-01-01 : Kısmi güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2017-01-01 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizeleri) giderildiğini gösterir.
    • 2017-01-05 : Tam güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2017-01-01 ve 2017-01-05 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
  • Desteklenen Google cihazları, 05 Ocak 2017 güvenlik yaması düzeyine sahip tek bir OTA güncellemesi alacaktır.

Güvenlik açığı özeti

Aşağıdaki tablolarda güvenlik açıklarının bir listesi, Ortak Güvenlik Açığı ve Etkilenme Kimliği (CVE), değerlendirilen önem derecesi ve Google cihazlarının etkilenip etkilenmediği yer almaktadır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Android ve Google hizmet azaltımları

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetlerine sahip cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

Ayrıca bu bültene katkılarından dolayı aşağıdaki araştırmacılara da teşekkür ederiz:

  • Alibaba Mobil Güvenlik Grubu'ndan Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang ve Yang Song
  • Trend Micro'dan Peter Pi ( @heisecode )
  • Google'dan Zubin Mithra

2017-01-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-01-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

C-ares'te uzaktan kod yürütme güvenlik açığı

C-ares'teki bir uzaktan kod yürütme güvenlik açığı, bir saldırganın özel hazırlanmış bir istek kullanarak ayrıcalıklı olmayan bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-5180 A-32205736 Yüksek Tüm 7.0 29 Eylül 2016

Framesequence'ta uzaktan kod yürütme güvenlik açığı

Framesequence kitaplığındaki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı olmayan bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, Framesequence kitaplığını kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0382 A-32338390 Yüksek Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 Ekim 2016

Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı

Çerçeve API'lerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0383 A-31677614 Yüksek Tüm 7.0, 7.1.1 21 Eylül 2016

Audioserver'da ayrıcalık yükselmesi güvenlik açığı

Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0384 A-32095626 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 Ekim 2016
CVE-2017-0385 A-32585400 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 Ekim 2016

Libnl'de ayrıcalık yükselmesi güvenlik açığı

Libnl kütüphanesindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0386 A-32255299 Yüksek Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 Ekim 2016

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0387 A-32660278 Yüksek Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 4 Kasım 2016

Harici Depolama Sağlayıcısındaki bilgilerin açığa çıkması güvenlik açığı

Harici Depolama Sağlayıcısındaki bilgilerin açığa çıkması güvenlik açığı, yerel ikincil kullanıcının, birincil kullanıcı tarafından takılan harici depolama SD kartındaki verileri okumasına olanak sağlayabilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0388 A-32523490 Yüksek Tüm 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Çekirdek ağda hizmet reddi güvenlik açığı

Çekirdek ağdaki hizmet reddi güvenlik açığı, uzaktaki bir saldırganın özel hazırlanmış ağ paketini kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0389 A-31850211 [ 2 ] [ 3 ] Yüksek Tüm 6.0, 6.0.1, 7.0, 7.1.1 20 Temmuz 2016

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki hizmet reddi güvenlik açığı, uzaktaki bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0390 A-31647370 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 19 Eylül 2016
CVE-2017-0391 A-32322258 Yüksek Tüm 6.0, 6.0.1, 7.0, 7.1.1 20 Ekim 2016
CVE-2017-0392 A-32577290 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 29 Ekim 2016
CVE-2017-0393 A-30436808 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Telefon hizmetlerinde hizmet reddi güvenlik açığı

Telefondaki hizmet reddi güvenlik açığı, uzaktaki bir saldırganın cihazın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak sağlayabilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0394 A-31752213 Yüksek Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 Eylül 2016

Kişiler'de ayrıcalık yükselmesi güvenlik açığı

Kişiler'deki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın sessizce iletişim bilgileri oluşturmasına olanak sağlayabilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin (normalde kullanıcı girişimi veya kullanıcı izni gerektiren işlevselliğe erişim) yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0395 A-32219099 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 Ekim 2016

Mediaserver'da bilgilerin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0381 A-31607432 Ilıman Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 Eylül 2016
CVE-2017-0396 A-31781965 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 27 Eylül 2016
CVE-2017-0397 A-32377688 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 Ekim 2016

Audioserver'da bilgilerin açığa çıkması güvenlik açığı

Audioserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0398 A-32438594 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016
CVE-2017-0398 A-32635664 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016
CVE-2017-0398 A-32624850 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016
CVE-2017-0399 A-32247948 [ 2 ] Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 Ekim 2016
CVE-2017-0400 A-32584034 [ 2 ] Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016
CVE-2017-0401 A-32448258 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 Ekim 2016
CVE-2017-0402 A-32436341 [ 2 ] Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016

2017-01-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-01-05 yama düzeyine uygulanan güvenlik açıklarının her biri için ayrıntılı bilgi sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Çekirdek bellek alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek bellek alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2015-3288 A-32460277
Yukarı akış çekirdeği
Kritik Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 9 Temmuz 2015

Qualcomm önyükleyicisinde ayrıcalık yükselmesi güvenlik açığı

Qualcomm önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8422 A-31471220
QC-CR#979426
Kritik Nexus 6, Nexus 6P, Piksel, Piksel XL 22 Temmuz 2016
CVE-2016-8423 A-31399736
QC-CR#1000546
Kritik Nexus 6P, Piksel, Piksel XL 24 Ağu 2016

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2015-5706 A-32289301
Yukarı akış çekirdeği
Kritik Hiçbiri* 1 Ağu 2016

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8424 A-31606947*
N-CVE-2016-8424
Kritik Nexus 9 17 Eylül 2016
CVE-2016-8425 A-31797770*
N-CVE-2016-8425
Kritik Nexus 9 28 Eylül 2016
CVE-2016-8426 A-31799206*
N-CVE-2016-8426
Kritik Nexus 9 28 Eylül 2016
CVE-2016-8482 A-31799863*
N-CVE-2016-8482
Kritik Nexus 9 28 Eylül 2016
CVE-2016-8427 A-31799885*
N-CVE-2016-8427
Kritik Nexus 9 28 Eylül 2016
CVE-2016-8428 A-31993456*
N-CVE-2016-8428
Kritik Nexus 9 6 Ekim 2016
CVE-2016-8429 A-32160775*
N-CVE-2016-8429
Kritik Nexus 9 13 Ekim 2016
CVE-2016-8430 A-32225180*
N-CVE-2016-8430
Kritik Nexus 9 17 Ekim 2016
CVE-2016-8431 A-32402179*
N-CVE-2016-8431
Kritik Piksel C 25 Ekim 2016
CVE-2016-8432 A-32447738*
N-CVE-2016-8432
Kritik Piksel C 26 Ekim 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

MediaTek sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8433 A-31750190*
MT-ALPS02974192
Kritik Hiçbiri** 24 Eylül 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8434 A-32125137
QC-CR#1081855
Kritik Nexus 5X, Nexus 6, Nexus 6P, Android One 12 Ekim 2016

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8435 A-32700935*
N-CVE-2016-8435
Kritik Piksel C 7 Kasım 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8436 A-32450261
QC-CR#1007860
Kritik Hiçbiri* 13 Ekim 2016

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki güvenlik açıkları Qualcomm bileşenlerini etkilemektedir ve Qualcomm AMSS Kasım 2015, Ağustos 2016, Eylül 2016 ve Ekim 2016 güvenlik bültenlerinde daha ayrıntılı olarak açıklanmaktadır.

CVE Referanslar Şiddet* Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8438 A-31624565** Kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8442 A-31625910** Kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8443 A-32576499** Kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8437 A-31623057** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-8439 A-31625204** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-8440 A-31625306** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-8441 A-31625904** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-8398 A-31548486** Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One Qualcomm dahili
CVE-2016-8459 A-32577972** Yüksek Hiçbiri*** Qualcomm dahili
CVE-2016-5080 A-31115235** Ilıman Nexus5X Qualcomm dahili

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.

** Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

*** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm kamerada ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamerasındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8412 A-31225246
QC-CR#1071891
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 26 Ağustos 2016
CVE-2016-8444 A-31243641*
QC-CR#1074310
Yüksek Nexus 5X, Nexus 6, Nexus 6P 26 Ağustos 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

MediaTek bileşenlerinde ayrıcalık yükselmesi güvenlik açığı

Termal sürücü ve video sürücüsü de dahil olmak üzere MediaTek bileşenlerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8445 A-31747590*
MT-ALPS02968983
Yüksek Hiçbiri** 25 Eylül 2016
CVE-2016-8446 A-31747749*
MT-ALPS02968909
Yüksek Hiçbiri** 25 Eylül 2016
CVE-2016-8447 A-31749463*
MT-ALPS02968886
Yüksek Hiçbiri** 25 Eylül 2016
CVE-2016-8448 A-31791148*
MT-ALPS02982181
Yüksek Hiçbiri** 28 Eylül 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8415 A-31750554
QC-CR#1079596
Yüksek Nexus 5X, Piksel, Piksel XL 26 Eylül 2016

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8449 A-31798848*
N-CVE-2016-8449
Yüksek Nexus 9 28 Eylül 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8450 A-32450563
QC-CR#880388
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One 13 Ekim 2016

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8451 A-32178033* Yüksek Hiçbiri** 13 Ekim 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Çekirdek güvenlik alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek güvenlik alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-7042 A-32178986
Yukarı akış çekirdeği
Yüksek Piksel C 14 Ekim 2016

Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0403 A-32402548* Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 25 Ekim 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdek ses alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ses alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0404 A-32510733* Yüksek Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 27 Ekim 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8452 A-32506396
QC-CR#1050323
Yüksek Nexus 5X, Android One, Piksel, Piksel XL 28 Ekim 2016

Qualcomm radyo sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm radyo sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-5345 A-32639452
QC-CR#1079713
Yüksek Android Bir 3 Kasım 2016

Çekirdek profil oluşturma alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek profili oluşturma alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-9754 A-32659848
Yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı 4 Kasım 2016

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8453 A-24739315*
B-RB#73392
Yüksek Nexus 6 Google dahili
CVE-2016-8454 A-32174590*
B-RB#107142
Yüksek Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Oynatıcı 14 Ekim 2016
CVE-2016-8455 A-32219121*
B-RB#106311
Yüksek Nexus 6P 15 Ekim 2016
CVE-2016-8456 A-32219255*
B-RB#105580
Yüksek Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Oynatıcı 15 Ekim 2016
CVE-2016-8457 A-32219453*
B-RB#106116
Yüksek Nexus 6, Nexus 6P, Nexus 9, Piksel C 15 Ekim 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8458 A-31968442* Yüksek Nexus 5X, Nexus 6P, Nexus 9, Android One, Piksel, Piksel XL Google dahili

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

NVIDIA video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

NVIDIA video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
Yüksek Nexus 9 21 Eylül 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Bootloader'da bilgilerin açığa çıkması güvenlik açığı

Önyükleyicideki bilgilerin açığa çıkması güvenlik açığı, yerel bir saldırganın izin düzeyi dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere erişmek için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8461 A-32369621* Yüksek Nexus 9, Piksel, Piksel XL 21 Ekim 2016
CVE-2016-8462 A-32510383* Yüksek Piksel, Piksel XL 27 Ekim 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm FUSE dosya sisteminde hizmet reddi güvenlik açığı

Qualcomm FUSE dosya sistemindeki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın özel hazırlanmış bir dosyayı kullanarak cihazın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8463 A-30786860
QC-CR#586855
Yüksek Hiçbiri* 03 Ocak 2014

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Önyükleyicide hizmet reddi güvenlik açığı

Önyükleyicideki hizmet reddi güvenlik açığı, bir saldırganın yerel kalıcı hizmet reddine neden olmasına olanak tanıyabilir ve bu, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilir. Yerel kalıcı hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8467 A-30308784* Yüksek Nexus 6, Nexus 6P 29 Haziran 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden ve mevcut platform yapılandırmaları tarafından hafifletildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8464 A-29000183*
B-RB#106314
Ilıman Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Oynatıcı 26 Mayıs 2016
CVE-2016-8466 A-31822524*
B-RB#105268
Ilıman Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Oynatıcı 28 Eylül 2016
CVE-2016-8465 A-32474971*
B-RB#106053
Ilıman Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Oynatıcı 27 Ekim 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Binder'da ayrıcalık yükselmesi güvenlik açığı

Binder'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden ve mevcut platform yapılandırmaları tarafından hafifletildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8468 A-32394425* Ilıman Piksel C, Piksel, Piksel XL Google dahili

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

NVIDIA kamera sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

Kamera sürücüsündeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
Ilıman Nexus 9 7 Eylül 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

MediaTek sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

MediaTek sürücüsündeki bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8470 A-31528889*
MT-ALPS02961395
Ilıman Hiçbiri** 15 Eylül 2016
CVE-2016-8471 A-31528890*
MT-ALPS02961380
Ilıman Hiçbiri** 15 Eylül 2016
CVE-2016-8472 A-31531758*
MT-ALPS02961384
Ilıman Hiçbiri** 15 Eylül 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

STMicroelectronics sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

STMicroelectronics sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8473 A-31795790* Ilıman Nexus 5X, Nexus 6P 28 Eylül 2016
CVE-2016-8474 A-31799972* Ilıman Nexus 5X, Nexus 6P 28 Eylül 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm ses post işlemcisindeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm ses post işlemcisindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0399 A-32588756 [ 2 ] Ilıman Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 18 Ekim 2016
CVE-2017-0400 A-32438598 [ 2 ] Ilıman Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016
CVE-2017-0401 A-32588016 Ilıman Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 26 Ekim 2016
CVE-2017-0402 A-32588352 [ 2 ] Ilıman Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 Ekim 2016

HTC giriş sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

HTC giriş sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8475 A-32591129* Ilıman Piksel, Piksel XL 30 Ekim 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdek dosya sisteminde hizmet reddi güvenlik açığı

Çekirdek dosya sistemindeki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, düzeltilmesi için fabrika ayarlarına sıfırlama gerektiren geçici bir hizmet reddi olduğundan Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2014-9420 A-32477499
Yukarı akış çekirdeği
Ilıman Piksel C 25 Aralık 2014

Sık Sorulan Sorular ve Cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

Bir cihazın güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Pixel ve Nexus güncelleme planındaki talimatları okuyun.

  • 2017-01-01 veya sonraki güvenlik yaması düzeyleri, 2017-01-01 güvenlik yaması düzeyiyle ilişkili tüm sorunları giderir.
  • 2017-01-05 veya sonraki güvenlik yaması düzeyleri, 2017-01-05 güvenlik yaması düzeyi ve önceki tüm yama düzeyleriyle ilişkili tüm sorunları giderir.

Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır:

  • [ro.build.version.security_patch]:[2017-01-01]
  • [ro.build.version.security_patch]:[2017-01-05]

2. Bu bültende neden iki güvenlik yaması düzeyi var?

Bu bültenin iki güvenlik düzeltme eki düzeyi vardır; böylece Android iş ortakları, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahip olur. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyini kullanmaları önerilir.

  • 1 Ocak 2017 güvenlik yaması düzeyini kullanan cihazların, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları ve önceki güvenlik bültenlerinde bildirilen tüm sorunlara yönelik düzeltmeleri içermesi gerekir.
  • 5 Ocak 2017 veya daha yeni bir güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.

İş ortaklarının, ele aldıkları tüm sorunlara yönelik düzeltmeleri tek bir güncellemede toplamaları önerilir.

3. Her sorundan hangi Google cihazlarının etkilendiğini nasıl belirlerim?

01.01.2017 ve 01.05.2017 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen, etkilenen Google cihazlarının aralığını kapsayan bir Güncellenmiş Google cihazları sütunu bulunur. Bu sütunun birkaç seçeneği vardır:

  • Tüm Google cihazları : Bir sorun Tümü ve Pixel cihazları etkiliyorsa tablonun Güncellenen Google cihazları sütununda "Tümü" ifadesi görünür. "Tümü" şu desteklenen cihazları kapsar: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ve Pixel XL.
  • Bazı Google cihazları : Bir sorun tüm Google cihazlarını etkilemiyorsa etkilenen Google cihazları Güncellenen Google cihazları sütununda listelenir.
  • Google cihazı yok : Android'in mevcut en son sürümünü çalıştıran hiçbir Google cihazı bu sorundan etkilenmezse, tablonun Güncellenen Google cihazları sütununda "Yok" ifadesi görünür.

4. Referanslar sütunundaki girişler neyle eşleşiyor?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler aşağıdaki gibi eşlenir:

Önek Referans
A- Android hata kimliği
Kalite kontrol- Qualcomm referans numarası
M- MediaTek referans numarası
N- NVIDIA referans numarası
B- Broadcom referans numarası

Revizyonlar

  • 03 Ocak 2017: Bülten yayınlandı.
  • 04 Ocak 2017: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
  • 05 Ocak 2017: AOSP sürüm numarası 7.1'den 7.1.1'e çıkarıldı.
  • 12 Ocak 2017: CVE-2016-8467 için yinelenen giriş kaldırıldı.
  • 24 Ocak 2017: CVE-2017-0381'in açıklaması ve önem derecesi güncellendi.
  • 2 Şubat 2017: CVE-2017-0389 ek yama bağlantısıyla güncellendi.