06 Haziran 2016'da yayınlandı | Güncelleme tarihi: 08 Haziran 2016
Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 01 Haziran 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları ele almaktadır. Güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Nexus belgelerine bakın.
Bültende açıklanan konularla ilgili olarak ortaklara 02 Mayıs 2016 veya öncesinde bilgi verildi. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır.
En ciddi sorun, etkilenen cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.
Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google Hizmeti Azaltmalar bölümüne bakın.
Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.
Android ve Google Hizmeti Azaltımları
Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür ederiz:
- KeenLab'dan Di Shen ( @returnsme ) ( @keen_lab ), Tencent: CVE-2016-2468
- Gal Beniamini ( @laginimaineb ): CVE-2016-2476
- Gengjia Chen ( @chengjia4574 ), IceSword Lab'den pjf ( weibo.com/jfpan ), Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Mobile Safe Team'den Hao Chen, Guang Gong ve Wenlin Yang, Qihoo 360 Technology Co. Ltd.: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016- 2498
- Iwo Banas : CVE-2016-2496
- IceSword Lab'den Jianqiang Zhao( @jianqiangzhao ) ve pjf ( weibo.com/jfpan ), Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Google'dan Lee Campbell: CVE-2016-2500
- Google Güvenlik Ekibi'nden Maciej Szawłowski: CVE-2016-2474
- Google'dan Marco Nelissen ve Max Spector: CVE-2016-2487
- Google Project Zero'nun Mark Markası: CVE-2016-2494
- Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- Vasili Vasilev: CVE-2016-2463
- Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-2495
- Tencent Güvenlik Platformu Departmanından Xiling Gong: CVE-2016-2499
- Android Güvenlik Ekibinden Zach Riggle ( @ebeip90 ): CVE-2016-2493
Güvenlik Açığı Ayrıntıları
Aşağıdaki bölümlerde, 2016-06-01 yama düzeyi için geçerli olan her bir güvenlik açığının ayrıntılarını sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE, ilgili Android hatası, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren AOSP değişikliğini hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek AOSP referansları hata kimliğini takip eden numaralara bağlanır.
Mediaserver'da Uzaktan Kod Yürütme Güvenlik Açığı
Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak verebilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve en önemlisi, MMS ve medyanın tarayıcıda oynatılması gibi, uzaktan içerikle bu işlevselliğe erişilmesine olanak tanıyan çok sayıda uygulama vardır.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 Mart 2016 |
Libwebm'de Uzaktan Kod Yürütme Güvenlik Açıkları
Libwebm'deki uzaktan kod yürütme güvenlik açıkları, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak sağlayabilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.
Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanmaktadır ve en önemlisi, MMS ve medyanın tarayıcıda oynatılması gibi, uzaktan içerikle bu işlevselliğe erişilmesine olanak tanıyan çok sayıda uygulama vardır.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [ 2 ] | Kritik | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Qualcomm Video Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | Kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 Şubat 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Ses Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | Kritik | Nexus 6 | 27 Şubat 2016 |
| CVE-2016-2467 | 28029010* | Kritik | Nexus 5 | 13 Mart 2014 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm GPU Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | Kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 Mart 2016 |
| CVE-2016-2062 | 27364029* | Kritik | Nexus 5X, Nexus 6P | 6 Mart 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | Kritik | Nexus5X | Google Dahili |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Broadcom Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, ayrıcalıklara sahip olmadan cihaz ayarlarını ve davranışını değiştirerek sistem çağrıları başlatmasına olanak tanıyabilir. Bu sorun, yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | Yüksek | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Oynatıcı, Pixel C | 6 Ocak 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Ses Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle sürücüyü arayabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 Ocak 2016 |
| CVE-2016-2469 | 27531992* | Yüksek | Nexus 5, Nexus 6, Nexus 6P | 4 Mart 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Mediaserver'da Ayrıcalık Güvenlik Açığı Yükselişi
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, üçüncü taraf bir uygulamanın erişemediği İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 Şubat 2016 |
| CVE-2016-2477 | 27251096 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 Şubat 2016 |
| CVE-2016-2478 | 27475409 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 Mart 2016 |
| CVE-2016-2479 | 27532282 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mart 2016 |
| CVE-2016-2480 | 27532721 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mart 2016 |
| CVE-2016-2481 | 27532497 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Mart 2016 |
| CVE-2016-2482 | 27661749 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mart 2016 |
| CVE-2016-2483 | 27662502 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 Mart 2016 |
| CVE-2016-2484 | 27793163 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mart 2016 |
| CVE-2016-2485 | 27793367 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mart 2016 |
| CVE-2016-2486 | 27793371 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 Mart 2016 |
| CVE-2016-2487 | 27833616 [ 2 ] [ 3 ] | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Qualcomm Kamera Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle sürücüyü arayabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | Yüksek | Nexus 5X, Nexus 6P | 15 Şubat 2016 |
| CVE-2016-2488 | 27600832* | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Google Dahili |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Video Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle sürücüyü arayabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | Yüksek | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 Şubat 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
NVIDIA Kamera Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
NVIDIA kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle sürücüyü aramak için bir hizmetin tehlikeye atılmasını gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | Yüksek | Nexus 9 | 6 Mart 2016 |
| CVE-2016-2491 | 27556408* | Yüksek | Nexus 9 | 8 Mart 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Qualcomm Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle sürücüyü arayabilecek bir hizmetin tehlikeye atılmasını gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | Yüksek | Nexus7 (2013) | 13 Mart 2016 |
| CVE-2016-2471 | 27773913* | Yüksek | Nexus7 (2013) | 19 Mart 2016 |
| CVE-2016-2472 | 27776888* | Yüksek | Nexus7 (2013) | 20 Mart 2016 |
| CVE-2016-2473 | 27777501* | Yüksek | Nexus7 (2013) | 20 Mart 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
MediaTek Güç Yönetimi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
MediaTek güç yönetimi sürücüsünde ayrıcalık yükselmesi, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle aygıtın güvenliğinin ihlal edilmesini ve sürücüyü çağırmak için root yükseltmesi yapılmasını gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | Yüksek | Android Bir | 7 Nisan 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
SD Kart Emülasyon Katmanında Ayrıcalık Güvenlik Açığı Yükselişi
SD Kart kullanıcı alanı emülasyon katmanındaki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, üçüncü taraf bir uygulamanın erişemediği İmza veya İmzaOrSistem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 Nisan 2016 |
Broadcom Wi-Fi Sürücüsünde Ayrıcalık Güvenlik Açığı Yükselişi
Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle sürücüyü aramak için bir hizmetin tehlikeye atılmasını gerektirdiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | Yüksek | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Oynatıcı, Pixel C | Google Dahili |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Mediaserver'da Uzaktan Hizmet Reddi Güvenlik Açığı
Mediaserver'daki uzaktan hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [ 2 ] | Yüksek | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 Nis 2016 |
Çerçeve Kullanıcı Arayüzünde Ayrıcalık Güvenlik Açığı Yükselişi
Çerçeve kullanıcı arayüzü izin iletişim penceresindeki ayrıcalık yükselmesi güvenlik açığı, bir saldırganın özel depolamadaki yetkisiz dosyalara erişmesine olanak sağlayabilir. Bu sorun, uygunsuz şekilde " tehlikeli " izinler almak için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [ 2 ] [ 3 ] | Ilıman | Tüm Nexus'lar | 6.0, 6.1 | 26 Mayıs 2015 |
Qualcomm Wi-Fi Sürücüsünde Bilgi İfşası Güvenlik Açığı
Qualcomm Wi-Fi sürücüsündeki bilgilerin açığa çıkması, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle sürücüyü arayabilecek bir hizmetin güvenliğinin aşılmasını gerektirdiğinden Orta olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Bildirilme tarihi |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | Ilıman | Nexus7 (2013) | 20 Mart 2016 |
* Bu sorunun yaması AOSP'de değil. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.
Mediaserver'da Bilgi İfşası Güvenlik Açığı
Mediaserver'daki bilgilerin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | Ilıman | Tüm Nexus'lar | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Mart 2016 |
Etkinlik Yöneticisinde Bilginin İfşa Edilmesi Güvenlik Açığı
Activity Manager bileşenindeki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Android hataları | Şiddet | Nexus cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilme tarihi |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | Ilıman | Tüm Nexus'lar | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google Dahili |
Sık Sorulan Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.
1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?
01 Haziran 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları giderir (güvenlik düzeltme eki düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için Nexus belgelerine bakın). Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-06-01]
2. Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?
Güvenlik Açığı Ayrıntıları bölümünde, her tabloda, her sorun için güncellenen, etkilenen Nexus cihazlarının aralığını kapsayan Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunun birkaç seçeneği vardır:
- Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi görünür. "Tüm Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
- Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
- Nexus cihazı yok : Sorundan hiçbir Nexus cihazı etkilenmediyse tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.
Revizyonlar
- 06 Haziran 2016: Bülten yayınlandı.
- 07 Haziran 2016:
- Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
- CVE-2016-2496 bültenden kaldırıldı.
- 08 Haziran 2016: CVE-2016-2496 bültene tekrar eklendi.