Android Güvenlik Bülteni—Mart 2017

06 Mart 2017 tarihinde yayınlandı | 07 Mart 2017'de güncellendi

Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) bir güncelleme aracılığıyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazı donanım yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Mart 2017 veya sonraki güvenlik yaması seviyeleri, tüm bu sorunları giderir. Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme planına bakın.

Ortaklar, bültende açıklanan sorunlar hakkında 06 Şubat 2017 veya daha önce bilgilendirildi. Bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlandı ve bu bültenden bağlantı verildi. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.

Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.

Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmeti azaltma bölümüne bakın.

Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyinde dizeye sahiptir. Ek bilgi için Genel sorular ve yanıtlara bakın:
    • 2017-03-01 : Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2017-03-01 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
    • 2017-03-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik düzeltme eki düzeyi dizesi, 2017-03-01 ve 2017-03-05 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
  • Desteklenen Google cihazları, 05 Mart 2017 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacaktır.

Android ve Google hizmeti azaltmaları

Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:

  • Google Dinamik Araçlar ekibinden Alexander Potapenko: CVE-2017-0537
  • Alibaba Mobil Güvenlik Grubundan Baozeng Ding, Chengming Yang, Peng Xiao ve Yang Song: CVE-2017-0506
  • Alibaba Mobil Güvenlik Grubundan Baozeng Ding, Ning You, Chengming Yang, Peng Xiao ve Yang Song: CVE-2017-0463
  • Android Güvenliğinden Billy Lau: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
  • derrek ( @derrekr6 ): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
  • derrek ( @derrekr6 ) ve Scott Bauer ( @ScottyBauer1 ): CVE-2017-0521
  • Di Shen ( @returnsme ) of KeenLab ( @keen_lab ), Tencent: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
  • MS509Team'den En He ( @heeeeen4x ) ve Bo Liu: CVE- 2017-0490
  • Gengjia Chen ( @chengjia4574 ) ve IceSword Lab, Qihoo 360 Technology Co. Ltd.'nin pjf'si: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
  • Alfa Ekibinden Hao Chen ve Guang Gong, Qihoo 360 Technology Co. Ltd.: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
  • Sony Mobile Communications Inc.'den Hiroki Yamamoto ve Fang Chen: CVE-2017-0481
  • IBM Security X-Force Araştırmacıları Sagi Kedmi ve Roee Hay: CVE-2017-0510
  • Qihoo 360 Skyeye Laboratuvarlarından Jianjun Dai ( @Jioun_dai ) : CVE-2017-0478
  • Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab'den pjf , Qihoo 360: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519 , CVE-2017-0533, CVE-2017-0534
  • C0RE Ekibinden Lubo Zhang , Tong Lin , Yuan-Tsung Lo ve Xuxian Jiang: CVE-2016-8479
  • Google'dan Makoto Onuki: CVE-2017-0491
  • C0RE Ekibinden Mingjian Zhou ( @Mingjian_Zhou ), Hanxiang Wen ve Xuxian Jiang: CVE-2017-0479, CVE-2017-0480
  • Nathan Crandall ( @natecray ): CVE-2017-0535
  • Tesla Motors Ürün Güvenliği Ekibinden Nathan Crandall ( @natecray ): CVE-2017-0306
  • Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Baidu X-Lab (百度安全实验室) Lenx Wei (韦韬): CVE-2016-8417
  • Qidan He (何淇丹) ( @flanker_hqd ) of KeenLab, Tencent: CVE-2017-0337, CVE-2017-0476
  • Qihoo 360'tan Qing Zhang ve Singapur Teknoloji Enstitüsü'nden (SIT) Guangdong Bai: CVE-2017-0496
  • Ant-financial Light-Year Security Lab'den Quhe ve wanchouchou (蚂蚁金服巴斯光年安全实验室): CVE-2017-0522
  • DarkMatter'da Güvenli İletişim Sahrası : CVE-2017-0528
  • Shellphish Grill Team, UC Santa Barbara'dan sallls ( @chris_salls ): CVE-2017-0505
  • Scott Bauer ( @ScottyBauer1 ): CVE-2017-0504, CVE-2017-0516
  • Sean Beaupre (güzeller): CVE-2017-0455
  • Trend Micro'dan Seven Shen ( @lingtongshen ): CVE-2017-0452
  • Fujitsu'dan Shinichi Matsumoto: CVE-2017-0498
  • ByteRev'den Stéphane Marques : CVE-2017-0489
  • Google'dan Svetoslav Ganov: CVE-2017-0492
  • C0RE Ekibinden Tong Lin , Yuan-Tsung Lo ve Xuxian Jiang : CVE-2017-0333
  • Mobile Threat Response Team'in VEO'su ( @VYSEa ), Trend Micro : CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE- 2017-0495
  • Ant-financial Light-Year Security Lab'den Wish Wu (吴潍浠 此彼) ( @wish_wu ) (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
  • Vulpecker Ekibinden Yu Pan, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
  • C0RE Ekibinden Yuan-Tsung Lo ve Xuxian Jiang : CVE-2017-0526, CVE-2017-0527
  • Yuqi Lu ( @nikos233 ) , Wenke Dou , Dacheng Shao , Mingjian Zhou ( @Mingjian_Zhou ) ve C0RE Ekibinden Xuxian Jiang : CVE-2017-0483
  • Chengdu Güvenlik Müdahale Merkezi'nden Zinuo Han ( weibo.com/ele7enxxh ), Qihoo 360 Technology Co. Ltd.: CVE-2017-0475, CVE-2017-0497

2017-03-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-03-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sağlıyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

OpenSSL ve BoringSSL'de uzaktan kod yürütme güvenlik açığı

OpenSSL ve BoringSSL'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın dosya ve veri işleme sırasında belleğin bozulmasına neden olabilir. Ayrıcalıklı bir süreç bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2182 A-32096880 kritik Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 5 Ağu 2016

Mediaserver'da uzaktan kod yürütme güvenlik açığı

Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0466 A-33139050 [ 2 ] kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 25 Kasım 2016
CVE-2017-0467 A-33250932 [ 2 ] kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 30 Kasım 2016
CVE-2017-0468 A-33351708 [ 2 ] kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 5 Ara 2016
CVE-2017-0469 A-33450635 kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 8 Ara 2016
CVE-2017-0470 A-33818500 kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 21 Aralık 2016
CVE-2017-0471 A-33816782 kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 21 Aralık 2016
CVE-2017-0472 A-33862021 kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 23 Aralık 2016
CVE-2017-0473 A-33982658 kritik Herşey 6.0, 6.0.1, 7.0, 7.1.1 30 Ara 2016
CVE-2017-0474 A-32589224 kritik Herşey 7.0, 7.1.1 Google dahili

Kurtarma doğrulayıcısında ayrıcalık yükselmesi güvenlik açığı

Kurtarma doğrulayıcısındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0475 A-31914369 kritik Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 Ekim 2016

AOSP Mesajlaşma'da uzaktan kod yürütme güvenlik açığı

AOSP Messaging'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Ayrıcalıksız bir işlem bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0476 A-33388925 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 6 Aralık 2016

libgdx'te uzaktan kod yürütme güvenlik açığı

libgdx'teki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0477 A-33621647 Yüksek Herşey 7.1.1 14 Aralık 2016

Framesequence kitaplığında uzaktan kod yürütme güvenlik açığı

Framesequence kitaplığındaki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, Framesequence kitaplığını kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0478 A-33718716 Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 16 Aralık 2016

NFC'de ayrıcalık yükselmesi güvenlik açığı

NFC'deki bir ayrıcalık yükselmesi güvenlik açığı, yakın bir saldırganın ayrıcalıklı bir süreç bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0481 A-33434992 Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 Kasım 2016

Audioserver'da ayrıcalık yükselmesi güvenlik açığı

Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0479 A-32707507 [ 2 ] Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 Kasım 2016
CVE-2017-0480 A-32705429 [ 2 ] Yüksek Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 Kasım 2016

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek önem derecesi olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0482 A-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 22 Kasım 2016
CVE-2017-0483 A-33137046 [ 2 ] Yüksek Herşey 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 Kasım 2016
CVE-2017-0484 A-33298089 [ 2 ] Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 1 Ara 2016
CVE-2017-0485 A-33387820 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 6 Aralık 2016
CVE-2017-0486 A-33621215 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 14 Aralık 2016
CVE-2017-0487 A-33751193 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 19 Ara 2016
CVE-2017-0488 A-34097213 Yüksek Herşey 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Konum Yöneticisi'nde ayrıcalık yükselmesi güvenlik açığı

Konum Yöneticisi'ndeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın konum verileri için işletim sistemi korumalarını atlamasına olanak verebilir. Bu sorun, hatalı veriler oluşturmak için kullanılabileceğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0489 A-33091107 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 Kasım 2016

Wi-Fi'de ayrıcalık yükselmesi güvenlik açığı

Wi-Fi'de bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın kullanıcı verilerini silmesini sağlayabilir. Bu sorun, normalde kullanıcı başlatma veya kullanıcı izni gerektiren kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Orta olarak derecelendirilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0490 A-33178389 [ 2 ] [ 3 ] Ilıman Herşey 6.0, 6.0.1, 7.0, 7.1.1 25 Kasım 2016

Paket Yöneticisi'nde ayrıcalık yükselmesi güvenlik açığı

Paket Yöneticisi'ndeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, kullanıcıların uygulamaları kaldırmasını veya uygulamalardan izinleri kaldırmasını engelleyebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0491 A-32553261 Ilıman Herşey 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Sistem Kullanıcı Arabiriminde ayrıcalık yükselmesi güvenlik açığı

Sistem Kullanıcı Arabirimindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın tüm ekranı kapsayan bir kullanıcı arabirimi kaplaması oluşturmasına olanak verebilir. Bu sorun, normalde kullanıcı başlatma veya kullanıcı izni gerektiren kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Orta olarak derecelendirilir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0492 A-30150688 Ilıman Herşey 7.1.1 Google dahili

AOSP Mesajlaşma'da bilginin açığa çıkması güvenlik açığı

AOSP Messaging'deki bir bilginin açığa çıkması güvenlik açığı, özel hazırlanmış bir dosya kullanan uzak bir saldırganın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0494 A-32764144 Ilıman Herşey 6.0, 6.0.1, 7.0, 7.1.1 9 Kasım 2016

Mediaserver'da bilginin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0495 A-33552073 Ilıman Herşey 6.0, 6.0.1, 7.0, 7.1.1 11 Ara 2016

Kurulum Sihirbazı'nda hizmet reddi güvenlik açığı

Kurulum Sihirbazı'ndaki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın etkilenen bir cihaza erişimi geçici olarak engellemesine izin verebilir. Bu sorun, cihazı onarmak için fabrika ayarlarına sıfırlama gerektirebileceğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0496 A-31554152* Ilıman Hiçbiri** 5.0.2, 5.1.1, 6.0, 6.0.1 14 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.

** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, olağandışı bir cihaz yapılandırması gerektirdiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0497 A-33300701 Ilıman Herşey 7.0, 7.1.1 2 Aralık 2016

Kurulum Sihirbazı'nda hizmet reddi güvenlik açığı

Kurulum Sihirbazı'ndaki bir hizmet reddi güvenlik açığı, yerel bir saldırganın fabrika ayarlarına sıfırlama işleminden sonra Google hesabında oturum açmasını gerektirmesine izin verebilir. Bu sorun, cihazı onarmak için fabrika ayarlarına sıfırlama gerektirebileceğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0498 A-30352311 [ 2 ] Ilıman Herşey 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Audioserver'da hizmet reddi güvenlik açığı

Audioserver'daki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın bir aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, geçici bir hizmet reddi olasılığı nedeniyle Düşük olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2017-0499 A-32095713 Düşük Herşey 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 Eki 2016

2017-03-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-03-05 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

MediaTek bileşenlerinde ayrıcalık yükselmesi güvenlik açığı

M4U sürücüsü, ses sürücüsü, dokunmatik ekran sürücüsü, GPU sürücüsü ve Komut Kuyruğu sürücüsü de dahil olmak üzere MediaTek bileşenlerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0500 A-28429685*
M-ALPS02710006
kritik Hiçbiri** 27 Nis 2016
CVE-2017-0501 A-28430015*
M-ALPS02708983
kritik Hiçbiri** 27 Nis 2016
CVE-2017-0502 A-28430164*
M-ALPS02710027
kritik Hiçbiri** 27 Nis 2016
CVE-2017-0503 A-28449045*
M-ALPS02710075
kritik Hiçbiri** 28 Nis 2016
CVE-2017-0504 A-30074628*
M-ALPS02829371
kritik Hiçbiri** 9 Tem 2016
CVE-2017-0505 A-31822282*
M-ALPS02992041
kritik Hiçbiri** 28 Eylül 2016
CVE-2017-0506 A-32276718*
M-ALPS03006904
kritik Hiçbiri** 18 Eki 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0337 A-31992762*
N-CVE-2017-0337
kritik Piksel C 6 Ekim 2016
CVE-2017-0338 A-33057977*
N-CVE-2017-0338
kritik Piksel C 21 Kasım 2016
CVE-2017-0333 A-33899363*
N-CVE-2017-0333
kritik Piksel C 25 Aralık 2016
CVE-2017-0306 A-34132950*
N-CVE-2017-0306
kritik Bağlantı Noktası 9 6 Ocak 2017
CVE-2017-0335 A-33043375*
N-CVE-2017-0335
kritik Piksel C Google dahili

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek ION alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ION alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0507 A-31992382* kritik Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 6 Ekim 2016
CVE-2017-0508 A-33940449* kritik Piksel C 28 Aralık 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0509 A-32124445*
B-RB#110688
kritik Hiçbiri** 12 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Çekirdek FIQ hata ayıklayıcısında ayrıcalık yükselmesi güvenlik açığı

Çekirdek FIQ hata ayıklayıcısındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0510 A-32402555* kritik Bağlantı Noktası 9 25 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8479 A-31824853*
QC-CR#1093687
kritik Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL 29 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağ iletişimi alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-9806 A-33393474
yukarı akış çekirdeği
kritik Piksel C, Piksel, Piksel XL 4 Aralık 2016
CVE-2016-10200 A-33753815
yukarı akış çekirdeği
kritik Nexus 5X, Nexus 6P, Piksel, Piksel XL 19 Ara 2016

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki güvenlik açığı Qualcomm bileşenlerini etkiler ve Qualcomm AMSS Eylül 2016 güvenlik bülteninde daha ayrıntılı olarak açıklanmıştır.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8484 A-28823575** kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8485 A-28823681** kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8486 A-28823691** kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8487 A-28823724** kritik Hiçbiri*** Qualcomm dahili
CVE-2016-8488 A-31625756** kritik Hiçbiri*** Qualcomm dahili

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

*** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağ iletişimi alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2016-8655 A-33358926
yukarı akış çekirdeği
Yüksek Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 12 Ekim 2016
CVE-2016-9793 A-33363517
yukarı akış çekirdeği
Yüksek Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL 2 Aralık 2016

Qualcomm giriş donanım sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm giriş donanım sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0516 A-32341680*
QC-CR#1096301
Yüksek Android Bir, Piksel, Piksel XL 21 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek Donanım Sensörü Sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek donanım algılayıcı sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0517 A-32372051*
M-ALPS02973195
Yüksek Hiçbiri** 22 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm ADSPRPC sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ADSPRPC sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0457 A-31695439*
QC-CR#1086123
QC-CR#1100695
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 22 Eylül 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm parmak izi sensörü sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm parmak izi sensörü sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0518 A-32370896*
KK-CR#1086530
Yüksek Piksel, Piksel XL 24 Ekim 2016
CVE-2017-0519 A-32372915*
KK-CR#1086530
Yüksek Piksel, Piksel XL 24 Ekim 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm kripto motoru sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kripto motoru sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0520 A-31750232
QC-CR#1082636
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 24 Eylül 2016

Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0458 A-32588962
QC-CR#1089433
Yüksek Piksel, Piksel XL 31 Ekim 2016
CVE-2017-0521 A-32919951
QC-CR#1097709
Yüksek Nexus 5X, Nexus 6P, Android Bir, Piksel, Piksel XL 15 Kasım 2016

MediaTek APK'da ayrıcalık yükselmesi güvenlik açığı

MediaTek APK'sındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Ayrıcalıklı bir süreçte yerel rastgele kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0522 A-32916158*
M-ALPS03032516
Yüksek Hiçbiri** 15 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0464 A-32940193
QC-CR#1102593
Yüksek Nexus 5X, Piksel, Piksel XL 15 Kasım 2016
CVE-2017-0453 A-33979145
KK-CR#1105085
Yüksek Nexus 5X, Android Bir 30 Ara 2016
CVE-2017-0523 A-32835279
KK-CR#1096945
Yüksek Hiçbiri* Google dahili

* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Google cihazları güncellendi Bildirilen tarih
CVE-2017-0524 A-33002026 Yüksek Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL 18 Kasım 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm IPA sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm IPA sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. This issue is rated as High because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0456 A-33106520*
QC-CR#1099598
Yüksek Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL Nov 23, 2016
CVE-2017-0525 A-33139056*
QC-CR#1097714
Yüksek Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL Nov 25, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in HTC Sensor Hub Driver

An elevation of privilege vulnerability in the HTC Sensor Hub Driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0526 A-33897738* Yüksek Nexus 9 Dec 25, 2016
CVE-2017-0527 A-33899318* Yüksek Nexus 9, Pixel, Pixel XL Dec 25, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in NVIDIA GPU driver

An elevation of privilege vulnerability in the NVIDIA GPU driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Critical due to the possibility of a local permanent device compromise, which may require reflashing the operating system to repair the device.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0307 A-33177895*
N-CVE-2017-0307
Yüksek None** Nov 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Elevation of privilege vulnerability in Qualcomm networking driver

An elevation of privilege vulnerability in the Qualcomm networking driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0463 A-33277611
QC-CR#1101792
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Nov 30, 2016
CVE-2017-0460 A-31252965*
QC-CR#1098801
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel security subsystem

An elevation of privilege vulnerability in the kernel security subsystem could enable a local malicious application to to execute code in the context of a privileged process. This issue is rated as High because it is a general bypass for a kernel level defense in depth or exploit mitigation technology.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0528 A-33351919* Yüksek Pixel, Pixel XL Dec 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm SPCom driver

An elevation of privilege vulnerability in the Qualcomm SPCom driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-5856 A-32610665
QC-CR#1094078
Yüksek None* Google internal
CVE-2016-5857 A-34386529
QC-CR#1094140
Yüksek None* Google internal

* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in kernel networking subsystem

An information disclosure vulnerability in the kernel networking subsystem could enable a local proximate attacker to gain access to sensitive information. This issue is rated as High because it could be used to access data without permission.

CVE Referanslar önem Updated Google devices Date reported
CVE-2014-8709 A-34077221
yukarı akış çekirdeği
Yüksek Nexus Player Nov 9, 2014

Information disclosure vulnerability in MediaTek driver

An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0529 A-28449427*
M-ALPS02710042
Yüksek None** Apr 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in Qualcomm bootloader

An information disclosure vulnerability in the Qualcomm bootloader could help to enable a local malicious application to to execute arbitrary code within the context of the bootloader. This issue is rated as High because it is a general bypass for a bootloader level defense in depth or exploit mitigation technology.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0455 A-32370952
QC-CR#1082755
Yüksek Pixel, Pixel XL Oct 21, 2016

Information disclosure vulnerability in Qualcomm power driver

An information disclosure vulnerability in the Qualcomm power driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8483 A-33745862
QC-CR#1035099
Yüksek Nexus 5X, Nexus 6P Dec 19, 2016

Information disclosure vulnerability in NVIDIA GPU driver

An information disclosure vulnerability in the NVIDIA GPU driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0334 A-33245849*
N-CVE-2017-0334
Yüksek Pixel C Nov 30, 2016
CVE-2017-0336 A-33042679*
N-CVE-2017-0336
Yüksek Pixel C Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in kernel cryptographic subsystem

A denial of service vulnerability in the kernel cryptographic subsystem could enable a remote attacker to use a specially crafted network packet to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8650 A-33401771
yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6P, Pixel, Pixel XL Oct 12, 2016

Elevation of privilege vulnerability in Qualcomm camera driver (device specific)

An elevation of privilege vulnerability in the Qualcomm camera driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8417 A-32342399
QC-CR#1088824
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Oct 21, 2016

Information disclosure vulnerability in Qualcomm Wi-Fi driver

An information disclosure vulnerability in the Qualcomm Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0461 A-32073794
QC-CR#1100132
Ilıman Android One, Nexus 5X, Pixel, Pixel XL Oct 9, 2016
CVE-2017-0459 A-32644895
QC-CR#1091939
Ilıman Pixel, Pixel XL Nov 3, 2016
CVE-2017-0531 A-32877245
QC-CR#1087469
Ilıman Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL Nov 13, 2016

Information disclosure vulnerability in MediaTek video codec driver

An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0532 A-32370398*
M-ALPS03069985
Ilıman None** Oct 22, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in Qualcomm video driver

An information disclosure vulnerability in the Qualcomm video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0533 A-32509422
QC-CR#1088206
Ilıman Pixel, Pixel XL Oct 27, 2016
CVE-2017-0534 A-32508732
QC-CR#1088206
Ilıman Pixel, Pixel XL Oct 28, 2016
CVE-2016-8416 A-32510746
QC-CR#1088206
Ilıman Pixel, Pixel XL Oct 28, 2016
CVE-2016-8478 A-32511270
QC-CR#1088206
Ilıman Pixel, Pixel XL Oct 28, 2016

Information disclosure vulnerability in Qualcomm camera driver

An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2016-8413 A-32709702
QC-CR#518731
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Nov 4, 2016
CVE-2016-8477 A-32720522
QC-CR#1090007 [ 2 ]
Ilıman Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL Nov 7, 2016

Information disclosure vulnerability in HTC sound codec driver

An information disclosure vulnerability in the HTC sound codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0535 A-33547247* Ilıman Nexus 9 Dec 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Synaptics touchscreen driver

An information disclosure vulnerability in the Synaptics touchscreen driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0536 A-33555878* Ilıman Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL Dec 12, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel USB gadget driver

An information disclosure vulnerability in the kernel USB gadget driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0537 A-31614969* Ilıman Pixel C Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm camera driver

An information disclosure vulnerability in the Qualcomm camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Low because it first requires compromising a privileged process.

CVE Referanslar önem Updated Google devices Date reported
CVE-2017-0452 A-32873615*
QC-CR#1093693
Low Nexus 5X, Nexus 6P, Android One Nov 10, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Common Questions and Answers

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.

1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?

Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programındaki talimatları okuyun.

  • Security patch levels of 2017-03-01 or later address all issues associated with the 2017-03-01 security patch level.
  • Security patch levels of 2017-03-05 or later address all issues associated with the 2017-03-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2017-03-01]
  • [ro.build.version.security_patch]:[2017-03-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the March 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of March 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2017-03-01 and 2017-03-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running Android 7.0 are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. These prefixes map as follows:

Önek Referans
A- Android hata kimliği
KK- Qualcomm referans numarası
M- MediaTek referans numarası
N- NVIDIA referans numarası
B- Broadcom referans numarası

Revisions

  • March 06, 2017: Bulletin published.
  • March 07, 2017: Bulletin revised to include AOSP links.