Android Güvenlik Bülteni—Eylül 2016

06 Eylül 2016'da yayınlandı | 12 Eylül 2016'da güncellendi

Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 06 Eylül 2016 veya sonraki Güvenlik Düzeltme Eki Düzeyleri bu sorunları ele almaktadır. Güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için belgelere bakın. Desteklenen Nexus cihazları, 06 Eylül 2016 güvenlik yaması düzeyine sahip tek bir OTA güncellemesi alacaktır.

Bültende açıklanan hususlarla ilgili olarak ortaklara 05 Ağustos 2016 veya öncesinde bilgi verilmiştir. Uygun olduğu durumlarda, bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten aynı zamanda AOSP dışındaki yamalara bağlantılar da içermektedir.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltımları bölümüne bakın.

Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

• Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını düzeltmek için daha hızlı hareket etme esnekliği sağlamak üzere üç güvenlik yaması düzeyi dizesi bulunmaktadır. Ek bilgi için Yaygın sorular ve yanıtlara bakın:
  • 2016-09-01 : Kısmi güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2016-09-01 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizeleri) giderildiğini gösterir.
  • 2016-09-05 : Kısmi güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2016-09-01 ve 2016-09-05 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
  • 2016-09-06 : Bu bültendeki sorunların çoğu iş ortaklarına bildirildikten sonra keşfedilen sorunları ele alan eksiksiz güvenlik yaması düzeyi dizesi. Bu güvenlik yaması düzeyi dizesi, 2016-09-01, 2016-09-05 ve 2016-09-06 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
• Desteklenen Nexus cihazları, 06 Eylül 2016 güvenlik yaması düzeyine sahip tek bir OTA güncellemesi alacaktır.

Android ve Google hizmet azaltımları

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltımların bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

• Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
• Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
• Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

• Carnegie Mellon Üniversitesi'nden Cory Pruce: CVE-2016-3897
• Gengjia Chen ( @chengjia4574 ) ve IceSword Lab'den pjf , Qihoo 360 Technology Co. Ltd.: CVE-2016-3869, CVE-2016-3865, CVE-2016-3866, CVE-2016-3867
• Güvenlik Araştırma Laboratuvarı'ndan Hao Qin, Cheetah Mobile : CVE-2016-3863
• Google Project Zero'dan Jann Horn: CVE-2016-3885
• Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab'den pjf , Qihoo 360: CVE-2016-3858
• Joshua Drake ( @jduck ): CVE-2016-3861
• CISPA'dan Madhu Priya Murugan, Saarland Üniversitesi: CVE-2016-3896
• Google'dan Makoto Onuki: CVE-2016-3876
• Google Project Zero'nun Mark Markası: CVE-2016-3861
• Android Güvenliğinin Maksimum Spector'ı: CVE-2016-3888
• Android Güvenliğinden Max Spector ve Quan To: CVE-2016-3889
• Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-3895
• Tesla Motors Ürün Güvenliği Ekibinden Nathan Crandall ( @natecray ): CVE-2016-2446 ile ilgili ek sorunların keşfi
• Google'dan Oleksiy Vyalov: CVE-2016-3890
• Google Chrome Güvenlik Ekibi'nden Oliver Chang: CVE-2016-3880
• Alibaba Mobile Security Group'tan Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang şarkısı: CVE-2016-3859
• TEAM Lv51'den Ronald L. Loor Vargas ( @loor_rlv ): CVE-2016-3886
• Sagi Kedmi, IBM Güvenlik X-Force Araştırmacısı: CVE-2016-3873
• Scott Bauer ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
• TrendMicro'dan Seven Shen ( @lingtongshen ): CVE-2016-3894
• SentinelOne / RedNaga'dan Tim Strazzere ( @timstrazz ): CVE-2016-3862
• trotmaster ( @trotmaster99 ): CVE-2016-3883
• Google'dan Victor Chang: CVE-2016-3887
• Google'dan Vignesh Venkatasubramanian: CVE-2016-3881
• Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2016-3878
• Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang: CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
• Trend Micro Inc.'den Wish Wu (吴潍浠) ( @wish_wu ): CVE-2016-3892
• Alibaba Inc.'den Xingyu He (何星宇) ( @Spid3r_ ): CVE-2016-3879
• TCA Laboratuvarı'ndan Yacong Gu, Yazılım Enstitüsü, Çin Bilimler Akademisi: CVE-2016-3884
• Michigan Üniversitesi Ann Arbor'dan Yuru Shao : CVE-2016-3898

2016-09-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-09-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili referansları, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

LibUtils'te uzaktan kod yürütme güvenlik açığı

LibUtils'teki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu kitaplığı kullanan uygulamalarda uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.

Mediaserver'da uzaktan kod yürütme güvenlik açığı

Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak verebilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

MediaMuxer'da uzaktan kod yürütme güvenlik açığı

MediaMuxer'daki bir uzaktan kod yürütme güvenlik açığı, bir saldırganın özel hazırlanmış bir dosya kullanarak ayrıcalıklı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. MediaMuxer kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

Cihaz önyüklemesinde ayrıcalık yükselmesi güvenlik açığı

Önyükleme sırası sırasında ayrıcalık yükselmesi, yerel kötü niyetli bir saldırganın devre dışı bırakılmış olsa bile güvenli modda önyükleme yapmasına olanak tanıyabilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğundan Yüksek olarak derecelendirilmiştir.

* Mevcut tüm güncellemelerin yüklendiği, Android 7.0 işletim sistemine sahip, desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.

Ayarlar'da ayrıcalık yükselmesi güvenlik açığı

Ayarlar'da ayrıcalık yükselmesi, yerel kötü niyetli bir saldırganın, devre dışı bırakılmış olsa bile güvenli modda önyükleme yapmasına olanak tanıyabilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğundan Yüksek olarak derecelendirilmiştir.

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

* Mevcut tüm güncellemelerin yüklendiği, Android 7.0 işletim sistemine sahip, desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.

Telefon hizmetlerinde ayrıcalık yükselmesi güvenlik açığı

Telefon bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın yetkisiz premium SMS mesajları göndermesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

Bildirim Yöneticisi Hizmetinde ayrıcalık yükselmesi güvenlik açığı

Bildirim Yöneticisi Hizmeti'ndeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan yalıtan işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, normalde kullanıcı girişimi veya kullanıcı izni gerektiren işlevlere erişim gibi kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.

Debuggerd'da ayrıcalık yükselmesi güvenlik açığı

Entegre Android hata ayıklayıcısındaki ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın Android hata ayıklayıcı bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, ayrıcalıklı bir işlemde yerel olarak rastgele kod yürütme olasılığı nedeniyle Orta önem derecesi olarak derecelendirilmiştir.

System UI Tuner'da ayrıcalık yükselmesi güvenlik açığı

Sistem Kullanıcı Arayüzü Ayarlayıcısında ayrıcalık yükselmesi, yerel kötü niyetli bir kullanıcının, cihaz kilitlendiğinde korunan ayarları değiştirmesine olanak sağlayabilir. Bu sorun, kullanıcı izinlerinin yerel olarak atlanması nedeniyle Orta olarak derecelendirilmiştir.

Ayarlar'da ayrıcalık yükselmesi güvenlik açığı

Ayarlar'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın VPN ayarları için işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın izin düzeylerinin dışındaki verilere erişim sağlamak için kullanılabileceğinden Orta olarak derecelendirilmiştir.

SMS'de ayrıcalık yükselmesi güvenlik açığı

SMS'deki ayrıcalık yükselmesi güvenlik açığı, yerel bir saldırganın, cihazın temel hazırlığı yapılmadan önce premium SMS mesajları göndermesine olanak sağlayabilir. Bu, cihazın kurulmadan önce kullanılmasını engelleyen Fabrika Sıfırlama Korumasını atlama olasılığı nedeniyle Orta olarak derecelendirilmiştir.

Ayarlar'da ayrıcalık yükselmesi güvenlik açığı

Ayarlar'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir saldırganın Fabrika Sıfırlama Korumasını atlayıp cihaza erişmesine olanak tanıyabilir. Bu, cihazın başarılı bir şekilde sıfırlanmasına ve tüm verilerinin silinmesine yol açabilecek Fabrika Sıfırlama Korumasını atlama olasılığı nedeniyle Orta olarak derecelendirilmiştir.

Java Hata Ayıklama Tel Protokolünde ayrıcalık yükselmesi güvenlik açığı

Java Debug Wire Protokolündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, alışılmadık bir cihaz yapılandırması gerektirdiğinden Orta olarak derecelendirildi.

* Mevcut tüm güncellemelerin yüklendiği, Android 7.0 işletim sistemine sahip, desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.

Mediaserver'da bilgilerin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

AOSP Mail'de bilginin açığa çıkması güvenlik açığı

AOSP Mail'deki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kullanıcının özel bilgilerine erişmesine olanak sağlayabilir. Bu sorun, verilere izinsiz olarak uygunsuz şekilde erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

* Mevcut tüm güncellemelerin yüklendiği, Android 7.0 işletim sistemine sahip, desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.

Wi-Fi'de bilgilerin açığa çıkması güvenlik açığı

Wi-Fi yapılandırmasındaki bilgilerin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

* Mevcut tüm güncellemelerin yüklendiği, Android 7.0 işletim sistemine sahip, desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.

Telefon hizmetlerinde hizmet reddi güvenlik açığı

Telefon bileşenindeki bir hizmet reddi güvenlik açığı, yerel kötü amaçlı bir uygulamanın kilitli bir ekrandan 911 TTY çağrılarını engellemesine olanak tanıyabilir. Bu sorun, kritik bir işlevde hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.

2016-09-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-09-05 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili referansları, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Çekirdek güvenlik alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek güvenlik alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağı alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

Çekirdek netfilter alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek netfilter alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

Çekirdek USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek USB sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

Çekirdek ses alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ses alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

Çekirdek ASN.1 kod çözücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ASN.1 kod çözücüsündeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

Qualcomm radyo arayüzü katmanında ayrıcalık yükselmesi güvenlik açığı

Qualcomm radyo arayüzü katmanındaki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm alt sistem sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm alt sistemi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

Çekirdek ağ sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağ sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm IPA sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm IPA sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm güç sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm güç sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdek eCryptfs dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek eCryptfs dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

NVIDIA çekirdeğinde ayrıcalık yükselmesi güvenlik açığı

NVIDIA çekirdeğindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek önem derecesine sahiptir.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

Çekirdek ağ alt sisteminde hizmet reddi güvenlik açığı

Çekirdek ağ alt sistemindeki bir hizmet reddi güvenlik açığı, bir saldırganın aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, geçici uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

Çekirdek ext4 dosya sisteminde hizmet reddi güvenlik açığı

Çekirdek ext4 dosya sistemindeki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı bir hizmet reddine neden olmasına olanak sağlayabilir. Yerel kalıcı hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirildi.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm SPMI sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm SPMI sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm ses codec bileşenindeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm ses codec bileşenindeki bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

Qualcomm DMA bileşeninde bilgilerin açığa çıkması güvenlik açığı

Qualcomm DMA bileşenindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdek ağ alt sistemindeki bilgilerin açığa çıkması güvenlik açığı

Çekirdek ağı alt sistemindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

Çekirdek ağ alt sisteminde hizmet reddi güvenlik açığı

Çekirdek ağ iletişimi alt sistemindeki bir hizmet reddi güvenlik açığı, bir saldırganın Wi-Fi özelliklerine erişimi engellemesine olanak tanıyabilir. Wi-Fi özelliklerinin geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Orta olarak derecelendirilmiştir.

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki tablo, potansiyel olarak önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü de dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.

2016-09-06 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-09-06 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, ciddiyet gerekçesi ve CVE'yi, ilgili referansları, ciddiyeti, güncellenmiş Nexus cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Çekirdek paylaşımlı bellek alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek paylaşılan bellek alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

Qualcomm ağ bileşeninde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ağ bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

Sık Sorulan Sorular ve Cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

2016-09-01 veya sonraki Güvenlik Düzeltme Eki Düzeyleri, 2016-09-01 güvenlik düzeltme eki dize düzeyiyle ilişkili tüm sorunları giderir. 2016-09-05 veya sonraki Güvenlik Düzeltme Eki Düzeyleri, 2016-09-05 güvenlik düzeltme eki dize düzeyiyle ilişkili tüm sorunları giderir. 2016-09-06 veya sonraki Güvenlik Düzeltme Eki Düzeyleri, 2016-09-06 güvenlik düzeltme eki dize düzeyiyle ilişkili tüm sorunları giderir. Güvenlik yaması düzeyinin nasıl kontrol edileceğine ilişkin talimatlar için yardım merkezine başvurun. Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], veya [ro.build.version.security_patch]:[2016-09-06].

2. Bu bültende neden üç güvenlik yaması düzeyi dizisi var?

Bu bültende, Android iş ortaklarının tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahip olması için üç güvenlik yaması düzeyi dizisi bulunmaktadır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyi dizesini kullanmaları önerilir.

6 Eylül 2016 güvenlik düzeltme eki düzeyini veya daha yenisini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir. Bu düzeltme eki düzeyi, iş ortaklarına bu bültendeki sorunların çoğu hakkında ilk kez bilgi verildikten sonra keşfedilen sorunları gidermek için oluşturuldu.

5 Eylül 2016 güvenlik yaması düzeyini kullanan cihazların, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları, 1 Eylül 2016 güvenlik yaması düzeyini ve önceki güvenlik bültenlerinde bildirilen tüm sorunlara yönelik düzeltmeleri içermesi gerekir. 5 Eylül 2016 güvenlik yaması düzeyini kullanan cihazlar aynı zamanda 6 Eylül 2016 güvenlik yaması düzeyiyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.

1 Eylül 2016 güvenlik yaması düzeyini kullanan cihazların, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları ve önceki güvenlik bültenlerinde bildirilen tüm sorunlara yönelik düzeltmeleri içermesi gerekir. 1 Eylül 2016 güvenlik yaması düzeyini kullanan cihazlar aynı zamanda 5 Eylül 2016 ve 6 Eylül 2016 güvenlik yaması düzeyleriyle ilişkili düzeltmelerin bir alt kümesini de içerebilir.

3 . Her sorundan hangi Nexus cihazlarının etkilendiğini nasıl belirleyebilirim?

2016-09-01 , 2016-09-05 ve 2016-09-06 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen, etkilenen Nexus cihazlarının aralığını kapsayan bir Güncellenmiş Nexus cihazları sütunu bulunur. Bu sütunun birkaç seçeneği vardır:

• Tüm Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkiliyorsa tablonun Güncellenmiş Nexus cihazları sütununda "Tüm Nexus" ifadesi görünür. "Tüm Nexus" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player ve Pixel C.
• Bazı Nexus cihazları : Bir sorun tüm Nexus cihazlarını etkilemiyorsa etkilenen Nexus cihazları Güncellenmiş Nexus cihazları sütununda listelenir.
• Nexus cihazı yok : Android 7.0 çalıştıran hiçbir Nexus cihazı bu sorundan etkilenmezse, tablonun Güncellenmiş Nexus cihazları sütununda "Yok" ifadesi görünür.

4. Referanslar sütunundaki girişler neyle eşleşiyor?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler aşağıdaki gibi eşlenir:

Revizyonlar

• 06 Eylül 2016: Bülten yayınlandı.
• 07 Eylül 2016: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.
• 12 Eylül 2016: Bülten, CVE-2016-3861'in ilişkilendirmesini güncellemek ve CVE-2016-3877'yi kaldırmak üzere revize edildi.