Android Güvenlik Bülteni—Şubat 2017

06 Şubat 2017 tarihinde yayınlandı | 8 Şubat 2017'de güncellendi

Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) bir güncelleme aracılığıyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazı donanım yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Şubat 2017 veya sonraki güvenlik yaması seviyeleri, tüm bu sorunları giderir. Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme planına bakın.

Ortaklar, bültende açıklanan sorunlar hakkında 03 Ocak 2017 veya daha önce bilgilendirildi. Bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlandı ve bu bültenden bağlantı verildi. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.

Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.

Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmeti azaltma bölümüne bakın.

Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyinde dizeye sahiptir. Ek bilgi için Genel sorular ve yanıtlara bakın:
    • 2017-02-01 : Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2017-02-01 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
    • 2017-02-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik düzeltme eki düzeyi dizesi, 2017-02-01 ve 2017-02-05 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
  • Desteklenen Google cihazları, 05 Şubat 2017 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacaktır.

Android ve Google hizmeti azaltmaları

Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:

Bu bültene katkılarından dolayı aşağıdakilere de teşekkür etmek isteriz:

  • Baidu X-Lab'dan (百度安全实验室) Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) ve Lenx Wei (韦韬)

2017-02-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-02-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

Surfaceflinger'da uzaktan kod yürütme güvenlik açığı

Surfaceflinger'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Surfaceflinger işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0405 A-31960359 kritik Herşey 7.0, 7.1.1 4 Ekim 2016

Mediaserver'da uzaktan kod yürütme güvenlik açığı

Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0406 A-32915871 [ 2 ] kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 14 Kasım 2016
CVE-2017-0407 A-32873375 kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 12 Kasım 2016

libgdx'te uzaktan kod yürütme güvenlik açığı

libgdx'teki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0408 A-32769670 Yüksek Herşey 7.1.1 9 Kasım 2016

libstagefright'ta uzaktan kod yürütme güvenlik açığı

libstagefright'taki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0409 A-31999646 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Java.Net'te ayrıcalık yükselmesi güvenlik açığı

Java.Net kitaplığında bir ayrıcalık yükselmesi, kötü niyetli web içeriğinin bir kullanıcıyı açık izin olmadan başka bir web sitesine yönlendirmesine olanak verebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin uzaktan atlanması olduğu için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-5552 A-31858037 Yüksek Herşey 7.0, 7.1.1 30 Eylül 2016

Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı

Framework API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0410 A-31929765 Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 Ekim 2016
CVE-2017-0411 A-33042690 [ 2 ] Yüksek Herşey 7.0, 7.1.1 21 Kasım 2016
CVE-2017-0412 A-33039926 [ 2 ] Yüksek Herşey 7.0, 7.1.1 21 Kasım 2016

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0415 A-32706020 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 4 Kasım 2016

Audioserver'da ayrıcalık yükselmesi güvenlik açığı

Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0416 A-32886609 [ 2 ] Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google dahili
CVE-2017-0417 A-32705438 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 Kasım 2016
CVE-2017-0418 A-32703959 [ 2 ] Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 Kasım 2016
CVE-2017-0419 A-32220769 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 Ekim 2016

AOSP Mail'de bilginin açığa çıkması güvenlik açığı

AOSP Mail'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, uygulamanın erişimi olmayan verilere erişim sağlamak için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0420 A-32615212 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 12 Eylül 2016

AOSP Mesajlaşma'da bilginin açığa çıkması güvenlik açığı

AOSP Messaging'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, uygulamanın erişimi olmayan verilere erişim sağlamak için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0413 A-32161610 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 13 Ekim 2016
CVE-2017-0414 A-32807795 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 10 Kasım 2016

Framework API'lerinde bilginin açığa çıkması güvenlik açığı

Framework API'lerinde bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak verebilir. Bu sorun, uygulamanın erişimi olmayan verilere erişim sağlamak için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0421 A-32555637 Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Bionic DNS'de hizmet reddi güvenlik açığı

Bionic DNS'deki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir ağ paketi kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0422 A-32322088 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 Ekim 2016

Bluetooth'ta ayrıcalık yükselmesi güvenlik açığı

Bluetooth'taki bir ayrıcalık yükselmesi güvenlik açığı, yakın bir saldırganın cihazdaki belgelere erişimi yönetmesine olanak sağlayabilir. Bu sorun, öncelikle Bluetooth yığınındaki ayrı bir güvenlik açığından yararlanılmasını gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0423 A-32612586 Ilıman Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 Kasım 2016

AOSP Mesajlaşma'da bilginin açığa çıkması güvenlik açığı

AOSP Messaging'deki bir bilginin açığa çıkması güvenlik açığı, özel hazırlanmış bir dosya kullanan uzak bir saldırganın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, kullanıcı düzeyinde derinlemesine bir savunma için genel bir atlama olduğundan veya ayrıcalıklı bir süreçte azaltma teknolojisinden yararlandığından Orta olarak derecelendirilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0424 A-32322450 Ilıman Herşey 6.0, 6.0.1, 7.0, 7.1.1 20 Ekim 2016

Audioserver'da bilginin açığa çıkması güvenlik açığı

Audioserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0425 A-32720785 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 Kasım 2016

Dosya sisteminde bilginin açığa çıkması güvenlik açığı

Dosya sistemindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0426 A-32799236 [ 2 ] Ilıman Herşey 7.0, 7.1.1 Google dahili

2017-02-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-02-05 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

Qualcomm kripto sürücüsünde uzaktan kod yürütme güvenlik açığı

Qualcomm şifreleme sürücüsündeki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, çekirdek bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8418 A-32652894
QC-CR#1077457
kritik Hiçbiri* 10 Ekim 2016

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0427 A-31495866* kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL 13 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0428 A-32401526*
N-CVE-2017-0428
kritik Bağlantı Noktası 9 25 Ekim 2016
CVE-2017-0429 A-32636619*
N-CVE-2017-0429
kritik Bağlantı Noktası 9 3 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağ iletişimi alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2014-9914 A-32882659
yukarı akış çekirdeği
kritik Nexus 6, Nexus Oynatıcı 9 Kasım 2016

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0430 A-32838767*
B-RB#107459
kritik Nexus 6, Nexus 6P, Nexus 9, Piksel C, Nexus Oynatıcı Google dahili

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki güvenlik açığı Qualcomm bileşenlerini etkiler ve Qualcomm AMSS Eylül 2016 güvenlik bülteninde daha ayrıntılı olarak açıklanmıştır.

CVE Referanslar önem* Google cihazları güncellendi Bildirilen tarih
CVE-2017-0431 A-32573899** kritik Hiçbiri*** Qualcomm dahili

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.

** Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

*** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

MediaTek sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0432 A-28332719*
M-ALPS02708925
Yüksek Hiçbiri** 21 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın dokunmatik ekran yonga seti bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0433 A-31913571* Yüksek Nexus 6P, Nexus 9, Android Bir, Piksel, Piksel XL 8 Eylül 2016
CVE-2017-0434 A-33001936* Yüksek Piksel, Piksel XL 18 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm Secure Execution Environment Communicator sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Secure Execution Environment Communicator sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8480 A-31804432
QC-CR#1086186 [ 2 ]
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 Eylül 2016

Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8481 A-31906415*
KK-CR#1078000
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 1 Ekim 2016
CVE-2017-0435 A-31906657*
KK-CR#1078000
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 1 Ekim 2016
CVE-2017-0436 A-32624661*
KK-CR#1078000
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 2 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0437 A-32402310
QC-CR#1092497
Yüksek Nexus 5X, Piksel, Piksel XL 25 Ekim 2016
CVE-2017-0438 A-32402604
QC-CR#1092497
Yüksek Nexus 5X, Piksel, Piksel XL 25 Ekim 2016
CVE-2017-0439 A-32450647
KK-CR#1092059
Yüksek Nexus 5X, Piksel, Piksel XL 25 Ekim 2016
CVE-2016-8419 A-32454494
QC-CR#1087209
Yüksek Nexus 5X, Piksel, Piksel XL 26 Ekim 2016
CVE-2016-8420 A-32451171
QC-CR#1087807
Yüksek Nexus 5X, Piksel, Piksel XL 26 Ekim 2016
CVE-2016-8421 A-32451104
QC-CR#1087797
Yüksek Nexus 5X, Piksel, Piksel XL 26 Ekim 2016
CVE-2017-0440 A-33252788
QC-CR#1095770
Yüksek Nexus 5X, Piksel, Piksel XL 11 Kasım 2016
CVE-2017-0441 A-32872662
KK-CR#1095009
Yüksek Nexus 5X, Piksel, Piksel XL 11 Kasım 2016
CVE-2017-0442 A-32871330
QC-CR#1092497
Yüksek Nexus 5X, Piksel, Piksel XL 13 Kasım 2016
CVE-2017-0443 A-32877494
QC-CR#1092497
Yüksek Nexus 5X, Piksel, Piksel XL 13 Kasım 2016
CVE-2016-8476 A-32879283
KK-CR#1091940
Yüksek Nexus 5X, Piksel, Piksel XL 14 Kasım 2016

Realtek ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Realtek ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0444 A-32705232* Yüksek Bağlantı Noktası 9 7 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

HTC dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

HTC dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0445 A-32769717* Yüksek Piksel, Piksel XL 9 Kasım 2016
CVE-2017-0446 A-32917445* Yüksek Piksel, Piksel XL 15 Kasım 2016
CVE-2017-0447 A-32919560* Yüksek Piksel, Piksel XL 15 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

NVIDIA video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

NVIDIA video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0448 A-32721029*
N-CVE-2017-0448
Yüksek Bağlantı Noktası 9 7 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği ve mevcut platform yapılandırmaları tarafından hafifletildiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0449 A-31707909*
B-RB#32094
Ilıman Nexus 6, Nexus 6P 23 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Audioserver'da ayrıcalık yükselmesi güvenlik açığı

Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, mevcut platform yapılandırmaları tarafından hafifletildiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0450 A-32917432* Ilıman Bağlantı Noktası 9 15 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıkların yükseltilmesini önleyen korumaları atlamasına olanak verebilir. Bu sorun, kullanıcı düzeyinde derinlemesine bir savunma veya açıklardan yararlanma azaltma teknolojisi için genel bir atlama olduğu için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-10044 A-31711619* Ilıman Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL Google dahili

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm Secure Execution Environment Communicator'da bilgi ifşası güvenlik açığı

Qualcomm Secure Execution Environment Communicator'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8414 A-31704078
QC-CR#1076407
Ilıman Nexus 5X, Nexus 6P, Android Bir, Piksel, Piksel XL 23 Eylül 2016

Qualcomm ses sürücüsünde bilginin açığa çıkması güvenlik açığı

Qualcomm ses sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0451 A-31796345
QC-CR#1073129 [ 2 ]
Ilıman Nexus 5X, Nexus 6P, Android Bir, Piksel, Piksel XL 27 Eylül 2016

Genel Sorular ve Cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.

1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?

Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programındaki talimatları okuyun.

  • 2017-02-01 veya sonraki sürümlerin güvenlik yaması seviyeleri, 2017-02-01 güvenlik yaması düzeyiyle ilişkili tüm sorunları ele alır.
  • 2017-02-05 veya sonraki güvenlik yaması seviyeleri, 2017-02-05 güvenlik yaması seviyesi ve önceki tüm yama seviyeleri ile ilgili tüm sorunları ele alır.

Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. Bu bültende neden iki güvenlik düzeltme eki düzeyi var?

Bu bültende, Android iş ortaklarının tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahip olması için iki güvenlik düzeltme eki düzeyi vardır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik düzeltme eki düzeyini kullanmaları önerilir.

  • 1 Şubat 2017 güvenlik düzeltme eki düzeyini kullanan cihazlar, söz konusu güvenlik düzeltme eki düzeyiyle ilişkili tüm sorunları ve önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir.
  • 5 Şubat 2017 veya daha yeni güvenlik düzeltme eki düzeyini kullanan aygıtlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.

İş ortaklarının, ele aldıkları tüm sorunlara yönelik düzeltmeleri tek bir güncellemede toplamaları önerilir.

3. Her sorundan hangi Google cihazlarının etkilendiğini nasıl belirleyebilirim?

2017-02-01 ve 2017-02-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen, etkilenen Google cihazlarının aralığını kapsayan bir Güncellenmiş Google cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:

  • Tüm Google cihazları : Bir sorun Tümünü ve Pixel cihazlarını etkiliyorsa, tablonun Güncellenen Google cihazları sütununda "Tümü" ifadesi görünür. "Tümü" şu desteklenen cihazları kapsar: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ve Pixel XL.
  • Bazı Google cihazları : Bir sorun tüm Google cihazlarını etkilemiyorsa, etkilenen Google cihazları Güncellenen Google cihazları sütununda listelenir.
  • Google cihazı yok : Android 7.0 çalıştıran hiçbir Google cihazı sorundan etkilenmiyorsa, tablonun Güncellenen Google cihazları sütununda "Yok" ifadesi görünür.

4. Referanslar sütunundaki girişler neyle eşleşir?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler şu şekilde eşlenir:

Önek Referans
A- Android hata kimliği
KK- Qualcomm referans numarası
M- MediaTek referans numarası
N- NVIDIA referans numarası
B- Broadcom referans numarası

Revizyonlar

  • 06 Şubat 2017: Bülten yayınlandı.
  • 08 Şubat 2017: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.