06 Haziran 2016 tarihinde yayınlandı | 08 Haziran 2016 güncellendi
Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus ürün yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 01 Haziran 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir. Güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için Nexus belgelerine bakın.
Ortaklara, 02 Mayıs 2016 veya daha önceki bir tarihte bültende açıklanan sorunlar hakkında bilgi verildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.
En ciddi sorun, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google Hizmet Azaltıcıları bölümüne bakın.
Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Android ve Google Hizmet Azaltıcıları
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirildi. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- KeenLab ( @keen_lab ), Tencent: CVE-2016-2468'den Di Shen ( @returnsme )
- Gal Beniamini ( @laginimaineb ): CVE-2016-2476
- IceSword Lab, Qihoo 360 Technology Co. Ltd.'den Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) : CVE-2016-2492
- Mobile Safe Team, Qihoo 360 Technology Co. Ltd.'den Hao Chen, Guang Gong ve Wenlin Yang: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
- Iwo Banas : CVE-2016-2496
- IceSword Lab, Qihoo 360 Technology Co. Ltd.'den Jianqiang Zhao ( @jianqiangzhao ) ve pjf ( weibo.com/jfpan ): CVE-2016-2490, CVE-2016-2491
- Google'dan Lee Campbell: CVE-2016-2500
- Google Güvenlik Ekibinden Maciej Szawłowski: CVE-2016-2474
- Marco Nelissen ve Google'dan Max Spector: CVE-2016-2487
- Google Projesi Sıfır Markası: CVE-2016-2494
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasiliy Vasilev: CVE-2016-2463
- Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-2495
- Tencent Güvenlik Platformu Departmanından Xiling Gong: CVE-2016-2499
- Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-2493
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 2016-06-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilişkili Android hatası, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Uygun olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları, hata kimliğini izleyen sayılara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Mart 2016 |
libwebm'de Uzaktan Kod Yürütme Güvenlik Açıkları
libwebm ile uzaktan kod yürütme güvenlik açıkları, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | kritik | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Qualcomm Video Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 Şubat 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Ses Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | kritik | Bağlantı Noktası 6 | 27 Şub 2016 |
| CVE-2016-2467 | 28029010* | kritik | Nexus 5 | 13 Mart 2014 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm GPU Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 Mart 2016 |
| CVE-2016-2062 | 27364029* | kritik | Nexus 5X, Nexus 6P | 6 Mart 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | kritik | Nexus 5X | Google Dahili |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Broadcom Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, ayrıcalıklar olmadan cihaz ayarlarını ve davranışını değiştirerek sistem çağrıları başlatmasına olanak verebilir. Bu sorun, yüksek yeteneklere yerel erişim elde etmek için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Yüksek | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Oynatıcı, Piksel C | 6 Ocak 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Ses Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle sürücüyü arayabilen bir hizmetten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 Oca 2016 |
| CVE-2016-2469 | 27531992* | Yüksek | Nexus 5, Nexus 6, Nexus 6P | 4 Mart 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Mediaserver'da Ayrıcalık Yükselmesi Güvenlik Açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Şubat 2016 |
| CVE-2016-2477 | 27251096 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Şubat 2016 |
| CVE-2016-2478 | 27475409 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Mart 2016 |
| CVE-2016-2479 | 27532282 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mart 2016 |
| CVE-2016-2480 | 27532721 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mart 2016 |
| CVE-2016-2481 | 27532497 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mart 2016 |
| CVE-2016-2482 | 27661749 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mart 2016 |
| CVE-2016-2483 | 27662502 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mart 2016 |
| CVE-2016-2484 | 27793163 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mart 2016 |
| CVE-2016-2485 | 27793367 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mart 2016 |
| CVE-2016-2486 | 27793371 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mart 2016 |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Qualcomm Kamera Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle sürücüyü arayabilen bir hizmetten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Yüksek | Nexus 5X, Nexus 6P | 15 Şub 2016 |
| CVE-2016-2488 | 27600832* | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Google Dahili |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Video Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle sürücüyü arayabilen bir hizmetten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 Şubat 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA Kamera Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
NVIDIA kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle sürücüyü aramak için bir hizmetten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Yüksek | Bağlantı Noktası 9 | 6 Mart 2016 |
| CVE-2016-2491 | 27556408* | Yüksek | Bağlantı Noktası 9 | 8 Mart 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle sürücüyü arayabilen bir hizmetten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Yüksek | Nexus 7 (2013) | 13 Mart 2016 |
| CVE-2016-2471 | 27773913* | Yüksek | Nexus 7 (2013) | 19 Mart 2016 |
| CVE-2016-2472 | 27776888* | Yüksek | Nexus 7 (2013) | 20 Mart 2016 |
| CVE-2016-2473 | 27777501* | Yüksek | Nexus 7 (2013) | 20 Mart 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
MediaTek Güç Yönetimi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
MediaTek güç yönetimi sürücüsündeki bir ayrıcalık yükseltmesi, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesini sağlayabilir. Bu sorun, önce aygıttan ödün verilmesini ve sürücüyü çağırmak için kök yükseltmeyi gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Yüksek | Android Bir | 7 Nis 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
SD Kart Öykünme Katmanında Ayrıcalık Yükselmesi Güvenlik Açığı
SD Kart kullanıcı alanı öykünme katmanındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği Signature veya SignatureOrSystem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Nis 2016 |
Broadcom Wi-Fi Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle sürücüyü aramak için bir hizmetten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Yüksek | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Oynatıcı, Piksel C | Google Dahili |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Mediaserver'da Uzaktan Hizmet Reddi Güvenlik Açığı
Mediaserver'daki bir uzaktan hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın askıda kalmasına veya yeniden başlatılmasına neden olabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | Yüksek | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Nis 2016 |
Çerçeve Kullanıcı Arabiriminde Ayrıcalık Yükseltme Güvenlik Açığı
Çerçeve Kullanıcı Arabirimi izin iletişim penceresindeki bir ayrıcalık yükselmesi güvenlik açığı, bir saldırganın özel depolama alanındaki yetkisiz dosyalara erişmesine olanak sağlayabilir. Bu sorun, uygunsuz şekilde " tehlikeli " izinler almak için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | Ilıman | Tüm Bağlantılar | 6.0, 6.1 | 26 Mayıs 2015 |
Qualcomm Wi-Fi Sürücüsünde Bilginin Açığa Çıkması Güvenlik Açığı
Qualcomm Wi-Fi sürücüsündeki bir bilgi ifşası, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle sürücüyü çağırabilen bir hizmetten ödün verilmesini gerektirdiğinden Orta olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Ilıman | Nexus 7 (2013) | 20 Mart 2016 |
* Bu sorun için yama AOSP'de değil. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Mediaserver'da Bilgi İfşası Güvenlik Açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Ilıman | Tüm Bağlantılar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Mart 2016 |
Activity Manager'da Bilgi İfşası Güvenlik Açığı
Activity Manager bileşenindeki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Android hataları | önem | Güncellenmiş Nexus cihazları | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Ilıman | Tüm Bağlantılar | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
01 Haziran 2016 veya sonraki Güvenlik Yaması Düzeyleri bu sorunları giderir (güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın). Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-06-01]
2. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
Güvenlik Açığı Ayrıntıları bölümünde, her tabloda, her sorun için güncellenen etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi bulunur. "All Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa, etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmiyorsa, tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
Revizyonlar
- 06 Haziran 2016: Bülten yayınlandı.
- 07 Haziran 2016:
- Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
- CVE-2016-2496 bültenden kaldırıldı.
- 08 Haziran 2016: CVE-2016-2496 bültene geri eklendi.