07 Kasım 2016 tarihinde yayınlandı | 21 Aralık 2016 güncellendi
Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) bir güncelleme aracılığıyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazı donanım yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 06 Kasım 2016 veya sonraki güvenlik yaması seviyeleri, tüm bu sorunları giderir. Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme planına bakın.
Ortaklar, 20 Ekim 2016 veya daha önceki bir tarihte bültende açıklanan sorunlar hakkında bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.
Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmeti azaltma bölümüne bakın.
Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Pixel ve Pixel XL cihazlarının kullanıma sunulmasıyla birlikte, Google tarafından desteklenen tüm cihazlar için kullanılan terim "Nexus cihazları" yerine "Google cihazları" olmuştur.
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sağlamak için üç güvenlik düzeltme eki düzeyine sahiptir. Ek bilgi için Genel sorular ve yanıtlara bakın:
- 2016-11-01 : Kısmi güvenlik yaması seviyesi. Bu güvenlik yaması düzeyi, 2016-11-01 (ve önceki tüm güvenlik yaması düzeyleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- 2016-11-05 : Tam güvenlik yaması düzeyi. Bu güvenlik yaması düzeyi, 2016-11-01 ve 2016-11-05 (ve önceki tüm güvenlik yaması düzeyleri) ile ilişkili tüm sorunların giderildiğini gösterir.
- Ek güvenlik yaması seviyeleri
Yama düzeyi tanımlandıktan sonra kamuya açıklanan sorunlar için düzeltmeler içeren cihazları belirlemek için ek güvenlik yaması düzeyleri sağlanır. Yakın zamanda açıklanan bu güvenlik açıklarının ele alınması, 2016-12-01 güvenlik yaması düzeyine kadar gerekli değildir.
- 2016-11-06 : Bu güvenlik düzeltme eki düzeyi, cihazın, 19 Ekim 2016'da genel olarak açıklanan 2016-11-05 ve CVE-2016-5195 ile ilgili tüm sorunları ele aldığını gösterir.
- Desteklenen Google cihazları, 05 Kasım 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacaktır.
Android ve Google hizmeti azaltmaları
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- Google Chrome Güvenlik Ekibinden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-6722
- Google'dan Andrei Kapishnikov ve Miriam Gershenson: CVE-2016-6703
- PKAV'dan Ao Wang ( @ArayzSegment ) ve Zinuo Han , Silence Information Technology: CVE-2016-6700, CVE-2016-6702
- Güvenlik Platformu Departmanından Askyshang, Tencent: CVE-2016-6713
- Android Güvenliğinden Billy Lau: CVE-2016-6737
- Pire Üniversitesi'nden Constantinos Patsakis ve Efthimios Alepis : CVE-2016-6715
- Alibaba mobil güvenlik ekibinin dragonltx'i: CVE-2016-6714
- Proje Sıfırından Gal Beniamini: CVE-2016-6707, CVE-2016-6717
- Gengjia Chen ( @chengjia4574 ) ve IceSword Lab, Qihoo 360 Technology Co. Ltd.'nin pjf'si: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906
- Alfa Ekibinden Guang Gong (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd .: CVE-2016-6754
- Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab, Qihoo 360 Technology Co. Ltd'nin pjf'si: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-2016-6698
- Keen Lab of Tencent'ten Marco Grassi ( @marcograss ) ( @keen_lab ): CVE-2016-6828
- Sıfır Projesi Marka Markası: CVE-2016-6706
- Google'dan Mark Renouf: CVE-2016-6724
- Michał Bednarski ( github.com/michalbednarski ): CVE-2016-6710
- Android Güvenliğinden Min Chong: CVE-2016-6743
- Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-6721
- Qidan He (何淇丹) ( @flanker_hqd ) ve Gengming Liu (刘耕铭) ( @dmxcsnsbh ) KeenLab, Tencent: CVE-2016-6705
- Google'dan Robin Lee: CVE-2016-6708
- Scott Bauer ( @ScottyBauer1 ): CVE-2016-6751
- Kaspersky Lab'den Sergey Bobrov ( @Black2Fan ): CVE-2016-6716
- Trend Micro Mobil Tehdit Araştırma Ekibinden Seven Shen ( @lingtongshen ): CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
- Vrije Universiteit Amsterdam'dan Victor van der Veen, Herbert Bos, Kaveh Razavi ve Cristiano Giuffrida ve California Üniversitesi'nden Yanick Fratantonio, Martina Lindorfer ve Giovanni Vigna, Santa Barbara: CVE-2016-6728
- Alibaba Inc'den Weichao Sun ( @sunblate ): CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
- Wenke Dou ( vancouverdou@gmail.com ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-6720
- Trend Micro Inc.'den Wish Wu (吴潍浠) ( @wish_wu ): CVE-2016-6704
- Nightwatch Cybersecurity'den Yakov Shafranovich : CVE-2016-6723
- Yuan-Tsung Lo , Yao Jun , Tong Lin , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
- Yuan-Tsung Lo , Yao Jun , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746
Bu bültendeki çeşitli konulara katkılarından dolayı Android Security'den Zach Riggle'a ayrıca teşekkür ederiz.
2016-11-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-11-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6699 | A-31373622 | kritik | Herşey | 7.0 | 27 Tem 2016 |
libzipfile'de ayrıcalık yükselmesi güvenlik açığı
libzipfile'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6700 | A-30916186 | kritik | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1 | 17 Ağu 2016 |
* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Skia'da uzaktan kod yürütme güvenlik açığı
libskia'daki bir uzaktan kod yürütme güvenlik açığı, bir saldırganın özel hazırlanmış bir dosya kullanarak medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olmasına olanak verebilir. Bu sorun, galeri süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6701 | A-30190637 | Yüksek | Herşey | 7.0 | Google dahili |
libjpeg'de uzaktan kod yürütme güvenlik açığı
Libjpeg'deki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, libjpeg kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6702 | A-30259087 | Yüksek | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1 | 19 Tem 2016 |
* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Android çalışma zamanında uzaktan kod yürütme güvenlik açığı
Android çalışma zamanı kitaplığındaki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir yük kullanan bir saldırganın, ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, Android çalışma zamanını kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6703 | A-30765246 | Yüksek | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6704 | A-30229821 [ 2 ] [ 3 ] | Yüksek | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 Tem 2016 |
| CVE-2016-6705 | A-30907212 [ 2 ] | Yüksek | Herşey | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 Ağu 2016 |
| CVE-2016-6706 | A-31385713 | Yüksek | Herşey | 7.0 | 8 Eylül 2016 |
Sistem Sunucusunda ayrıcalık yükselmesi güvenlik açığı
Sistem Sunucusundaki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6707 | A-31350622 | Yüksek | Herşey | 6.0, 6.0.1, 7.0 | 7 Eylül 2016 |
Sistem Kullanıcı Arabiriminde ayrıcalık yükselmesi güvenlik açığı
Sistem Kullanıcı Arabiriminde bir ayrıcalık yükselmesi, yerel kötü niyetli bir kullanıcının Çoklu Pencere modunda bir iş profilinin güvenlik istemini atlamasına olanak sağlayabilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6708 | A-30693465 | Yüksek | Herşey | 7.0 | Google dahili |
Conscrypt'te bilginin açığa çıkması güvenlik açığı
Conscrypt'teki bir bilginin açığa çıkması güvenlik açığı, bir uygulama tarafından eski bir şifreleme API'si kullanılıyorsa, bir saldırganın hassas bilgilere erişmesine olanak sağlayabilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6709 | A-31081987 | Yüksek | Herşey | 6.0, 6.0.1, 7.0 | 9 Ekim 2015 |
İndirme yöneticisinde bilginin açığa çıkması güvenlik açığı
İndirme yöneticisindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, uygulamanın erişimi olmayan verilere erişim sağlamak için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6710 | A-30537115 [ 2 ] | Yüksek | Herşey | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 Tem 2016 |
Bluetooth'ta hizmet reddi güvenlik açığı
Bluetooth'taki bir hizmet reddi güvenlik açığı, yakın bir saldırganın, etkilenen bir cihaza Bluetooth erişimini engellemesine olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2014-9908 | A-28672558 | Yüksek | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1 | 5 Mayıs 2014 |
* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
OpenJDK'da hizmet reddi güvenlik açığı
OpenJDK'daki uzaktan hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2015-0410 | A-30703445 | Yüksek | Herşey | 7.0 | 16 Oca 2015 |
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki bir uzaktan hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın askıda kalmasına veya yeniden başlatılmasına neden olabilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6711 | A-30593765 | Yüksek | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 Ağu 2016 |
| CVE-2016-6712 | A-30593752 | Yüksek | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 Ağu 2016 |
| CVE-2016-6713 | A-30822755 | Yüksek | Herşey | 6.0, 6.0.1, 7.0 | 11 Ağu 2016 |
| CVE-2016-6714 | A-31092462 | Yüksek | Herşey | 6.0, 6.0.1, 7.0 | 22 Ağu 2016 |
* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı
Framework API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, kullanıcının izni olmadan ses kaydetmesine izin verebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması (normalde kullanıcı başlatma veya kullanıcı izni gerektiren işlevlere erişim) olduğu için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6715 | A-29833954 | Ilıman | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 Haz 2016 |
AOSP Launcher'da ayrıcalık yükselmesi güvenlik açığı
AOSP Başlatıcı'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, kullanıcının izni olmadan yükseltilmiş ayrıcalıklara sahip kısayollar oluşturmasına izin verebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması (normalde kullanıcı başlatma veya kullanıcı izni gerektiren işlevlere erişim) olduğu için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6716 | A-30778130 | Ilıman | Herşey | 7.0 | 5 Ağu 2016 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrı bir güvenlik açığından yararlanılmasını gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6717 | A-31350239 | Ilıman | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 7 Eylül 2016 |
Hesap Yöneticisi Hizmetinde ayrıcalık yükselmesi güvenlik açığı
Hesap Yöneticisi Hizmetindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın kullanıcı etkileşimi olmadan hassas bilgileri almasına olanak verebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması (normalde kullanıcı başlatma veya kullanıcı izni gerektiren işlevlere erişim) olduğu için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6718 | A-30455516 | Ilıman | Herşey | 7.0 | Google dahili |
Bluetooth'ta ayrıcalık yükselmesi güvenlik açığı
Bluetooth bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, kullanıcının izni olmadan herhangi bir Bluetooth cihazıyla eşleşmesine olanak verebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması (normalde kullanıcı başlatma veya kullanıcı izni gerektiren işlevlere erişim) olduğu için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6719 | A-29043989 [ 2 ] | Ilıman | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google dahili |
Mediaserver'da bilginin açığa çıkması güvenlik açığı
Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6720 | A-29422020 [ 2 ] [ 3 ] [ 4 ] | Ilıman | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 Haz 2016 |
| CVE-2016-6721 | A-30875060 | Ilıman | Herşey | 6.0, 6.0.1, 7.0 | 13 Ağu 2016 |
| CVE-2016-6722 | A-31091777 | Ilıman | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 Ağu 2016 |
Proxy Otomatik Yapılandırmasında hizmet reddi güvenlik açığı
Proxy Otomatik Yapılandırma'daki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, olağandışı bir cihaz yapılandırması gerektirdiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6723 | A-30100884 [ 2 ] | Ilıman | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 11 Tem 2016 |
Giriş Yöneticisi Hizmetinde hizmet reddi güvenlik açığı
Giriş Yöneticisi Hizmetindeki bir hizmet reddi güvenlik açığı, yerel bir kötü amaçlı uygulamanın aygıtın sürekli olarak yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, düzeltilmesi için fabrika ayarlarına sıfırlama gerektiren geçici bir hizmet reddi olduğundan Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6724 | A-30568284 | Ilıman | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | Google dahili |
2016-11-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-11-05 yama düzeyi için geçerli olan güvenlik açıklarının her birinin ayrıntılarını sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Qualcomm kripto sürücüsünde uzaktan kod yürütme güvenlik açığı
Qualcomm şifreleme sürücüsündeki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, çekirdek bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6725 | A-30515053 KK-CR#1050970 | kritik | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 Tem 2016 |
Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-8961 | A-30952474 yukarı akış çekirdeği | kritik | Piksel, Piksel XL | 18 Eki 2015 |
| CVE-2016-7911 | A-30946378 yukarı akış çekirdeği | kritik | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 01 Tem 2016 |
| CVE-2016-7910 | A-30942273 yukarı akış çekirdeği | kritik | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 29 Tem 2016 |
Çekirdek SCSI sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek SCSI sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-8962 | A-30951599 yukarı akış çekirdeği | kritik | Piksel, Piksel XL | 30 Eki 2015 |
Çekirdek medya sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek medya sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-7913 | A-30946097 yukarı akış çekirdeği | kritik | Nexus 6P, Android Bir, Nexus Oynatıcı, Piksel, Pixel XL | 28 Ocak 2016 |
Çekirdek USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Çekirdek USB sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-7912 | A-30950866 yukarı akış çekirdeği | kritik | Piksel C, Piksel, Piksel XL | 14 Nis 2016 |
Çekirdek ION alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ION alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6728 | A-30400942* | kritik | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 25 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
Qualcomm önyükleyicide ayrıcalık yükselmesi güvenlik açığı
Qualcomm önyükleyicisindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6729 | A-30977990* QC-CR#977684 | kritik | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6730 | A-30904789* N-CVE-2016-6730 | kritik | Piksel C | 16 Ağu 2016 |
| CVE-2016-6731 | A-30906023* N-CVE-2016-6731 | kritik | Piksel C | 16 Ağu 2016 |
| CVE-2016-6732 | A-30906599* N-CVE-2016-6732 | kritik | Piksel C | 16 Ağu 2016 |
| CVE-2016-6733 | A-30906694* N-CVE-2016-6733 | kritik | Piksel C | 16 Ağu 2016 |
| CVE-2016-6734 | A-30907120* N-CVE-2016-6734 | kritik | Piksel C | 16 Ağu 2016 |
| CVE-2016-6735 | A-30907701* N-CVE-2016-6735 | kritik | Piksel C | 16 Ağu 2016 |
| CVE-2016-6736 | A-30953284* N-CVE-2016-6736 | kritik | Piksel C | 18 Ağu 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ağ iletişimi alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6828 | A-31183296 yukarı akış çekirdeği | kritik | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 Ağu 2016 |
Çekirdek ses alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ses alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-2184 | A-30952477 yukarı akış çekirdeği | kritik | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 31 Mart 2016 |
Çekirdek ION alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ION alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6737 | A-30928456* | kritik | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | Google dahili |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki tablo Qualcomm bileşenlerini etkileyen güvenlik açıklarını içerir ve Qualcomm AMSS Haziran 2016 güvenlik bülteninde ve Güvenlik Uyarısı 80-NV606-17'de daha ayrıntılı olarak açıklanmıştır.
| CVE | Referanslar | önem* | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6727 | A-31092400** | kritik | Android Bir | Qualcomm dahili |
| CVE-2016-6726 | A-30775830** | Yüksek | Nexus 6, Android Bir | Qualcomm dahili |
* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.
** Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
Expat'ta uzaktan kod yürütme güvenlik açığı
Aşağıdaki tablo, Expat kitaplığını etkileyen güvenlik açıklarını içermektedir. Bu sorunlardan en ciddi olanı, Expat XML ayrıştırıcısında, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlemde rasgele kod yürütmesine olanak verebilecek bir ayrıcalık yükselmesi güvenlik açığıdır. Expat kullanan bir uygulamada rastgele kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-0718 | A-28698301 | Yüksek | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 Mayıs 2016 |
| CVE-2012-6702 | A-29149404 | Ilıman | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 06 Mart 2016 |
| CVE-2016-5300 | A-29149404 | Ilıman | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 04 Haz 2016 |
| CVE-2015-1283 | A-27818751 | Düşük | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 Tem 2015 |
* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Web görünümünde uzaktan kod yürütme güvenlik açığı
Web görünümündeki bir uzaktan kod yürütme güvenlik açığı, kullanıcı bir web sitesine giderken uzaktaki bir saldırganın rasgele kod yürütmesine olanak verebilir. Ayrıcalıksız bir işlemde uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-6754 | A-31217937 | Yüksek | Hiçbiri* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 Ağu 2016 |
* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Freetype'da uzaktan kod yürütme güvenlik açığı
Freetype'daki bir uzaktan kod yürütme güvenlik açığı, yerel bir kötü amaçlı uygulamanın, ayrıcalıksız bir işlemde bellek bozulmasına neden olmak için özel hazırlanmış bir yazı tipi yüklemesine olanak verebilir. Freetype kullanan uygulamalarda uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2014-9675 | A-24296662 [ 2 ] | Yüksek | Hiçbiri* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google dahili |
* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Çekirdek performans alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek performans alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-8963 | A-30952077 yukarı akış çekirdeği | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 15 Ara 2015 |
Çekirdek sistem çağrı denetimi alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek sistem çağrısı denetimi alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdekte sistem çağrısı denetimini kesintiye uğratmasına olanak verebilir. Bu sorun, derinlemesine bir çekirdek düzeyinde savunma veya açıklardan yararlanma azaltma teknolojisi için genel bir baypas olduğu için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6136 | A-30956807 yukarı akış çekirdeği | Yüksek | Android One, Piksel C, Nexus Oynatıcı | 1 Tem 2016 |
Qualcomm kripto motoru sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm kripto motoru sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6738 | A-30034511 QC-CR#1050538 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 Tem 2016 |
Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6739 | A-30074605* QC-CR#1049826 | Yüksek | Nexus 5X, Nexus 6P, Piksel, Piksel XL | 11 Tem 2016 |
| CVE-2016-6740 | A-30143904 QC-CR#1056307 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 Tem 2016 |
| CVE-2016-6741 | A-30559423 KK-CR#1060554 | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
Qualcomm veri yolu sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm veri yolu sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-3904 | A-30311977 QC-CR#1050455 | Yüksek | Nexus 5X, Nexus 6P, Piksel, Piksel XL | 22 Tem 2016 |
Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6742 | A-30799828* | Yüksek | Nexus 5X, Android Bir | 9 Ağu 2016 |
| CVE-2016-6744 | A-30970485* | Yüksek | Nexus 5X | 19 Ağu 2016 |
| CVE-2016-6745 | A-31252388* | Yüksek | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 1 Eylül 2016 |
| CVE-2016-6743 | A-30937462* | Yüksek | Nexus 9, Android Bir | Google dahili |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
Çekirdek bileşenlerinde bilginin açığa çıkması güvenlik açığı
İnsan arabirimi aygıt sürücüsü, dosya sistemi ve Teletype sürücüsü de dahil olmak üzere çekirdek bileşenlerindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2015-8964 | A-30951112 yukarı akış çekirdeği | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 27 Kasım 2015 |
| CVE-2016-7915 | A-30951261 yukarı akış çekirdeği | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 19 Oca 2016 |
| CVE-2016-7914 | A-30513364 yukarı akış çekirdeği | Yüksek | Piksel C, Piksel, Piksel XL | 06 Nis 2016 |
| CVE-2016-7916 | A-30951939 yukarı akış çekirdeği | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 05 Mayıs 2016 |
NVIDIA GPU sürücüsünde bilginin açığa çıkması güvenlik açığı
NVIDIA GPU sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6746 | A-30955105* N-CVE-2016-6746 | Yüksek | Piksel C | 18 Ağu 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
Mediaserver'da hizmet reddi güvenlik açığı
Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6747 | A-31244612* N-CVE-2016-6747 | Yüksek | Bağlantı Noktası 9 | Google dahili |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
Çekirdek bileşenlerinde bilginin açığa çıkması güvenlik açığı
İşlem gruplandırma alt sistemi ve ağ alt sistemi dahil olmak üzere çekirdek bileşenlerindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-7917 | A-30947055 yukarı akış çekirdeği | Ilıman | Piksel C, Piksel, Piksel XL | 02 Şubat 2016 |
| CVE-2016-6753 | A-30149174* | Ilıman | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 13 Tem 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
Qualcomm bileşenlerinde bilgi ifşa güvenlik açığı
GPU sürücüsü, güç sürücüsü, SMSM Noktadan Noktaya sürücü ve ses sürücüsü dahil olmak üzere Qualcomm bileşenlerindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-6748 | A-30076504 QC-CR#987018 | Ilıman | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 Tem 2016 |
| CVE-2016-6749 | A-30228438 QC-CR#1052818 | Ilıman | Nexus 5X, Nexus 6P, Piksel, Piksel XL | 12 Tem 2016 |
| CVE-2016-6750 | A-30312054 QC-CR#1052825 | Ilıman | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 Tem 2016 |
| CVE-2016-3906 | A-30445973 QC-CR#1054344 | Ilıman | Nexus 5X, Nexus 6P | 27 Tem 2016 |
| CVE-2016-3907 | A-30593266 QC-CR#1054352 | Ilıman | Nexus 5X, Nexus 6P, Piksel, Piksel XL | 2 Ağu 2016 |
| CVE-2016-6698 | A-30741851 QC-CR#1058826 | Ilıman | Nexus 5X, Nexus 6P, Android Bir, Piksel, Piksel XL | 2 Ağu 2016 |
| CVE-2016-6751 | A-30902162* QC-CR#1062271 | Ilıman | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 15 Ağu 2016 |
| CVE-2016-6752 | A-31498159 QC-CR#987051 | Ilıman | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Google dahili |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Google cihazları için en son ikili sürücülerinde bulunur.
2016-11-06 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2016-11-06 güvenlik yaması düzeyi—Yukarıdaki Güvenlik Açığı özeti'nde listelenen güvenlik açıklarının her biri için ayrıntılar sağlıyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Çekirdek bellek alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek bellek alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
Not: 2016-11-06 güvenlik düzeltme eki düzeyi, bu sorunun yanı sıra 2016-11-01 ve 2016-11-05 ile ilgili tüm sorunların ele alındığını gösterir.
| CVE | Referanslar | önem | Güncellenmiş çekirdek sürümleri | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-5195 | A-32141528 Yukarı akış çekirdeği [ 2 ] | kritik | 3.10, 3.18 | 12 Ekim 2016 |
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programındaki talimatları okuyun.
- 2016-11-01 veya sonraki sürümlerin güvenlik yaması seviyeleri, 2016-11-01 güvenlik yaması düzeyiyle ilişkili tüm sorunları ele alır.
- 2016-11-05 veya sonraki güvenlik yaması seviyeleri, 2016-11-05 güvenlik yaması seviyesi ve önceki tüm yama seviyeleri ile ilgili tüm sorunları ele alır.
- 2016-11-06 veya sonraki güvenlik yaması seviyeleri, 2016-11-06 güvenlik yaması seviyesi ve önceki tüm yama seviyeleri ile ilgili tüm sorunları ele alır.
Bu güncellemeleri içeren cihaz üreticileri, yama düzeyi dizesini şu şekilde ayarlamalıdır:
- [ro.build.version.security_patch]:[2016-11-01]
- [ro.build.version.security_patch]:[2016-11-05]
- [ro.build.version.security_patch]:[2016-11-06].
2. Bu bültende neden üç güvenlik düzeltme eki düzeyi var?
Bu bültende, Android iş ortaklarının tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahip olması için üç güvenlik düzeltme eki düzeyi vardır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik düzeltme eki düzeyini kullanmaları önerilir.
- 1 Kasım 2016 güvenlik düzeltme eki düzeyini kullanan cihazlar, söz konusu güvenlik düzeltme eki düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini de içermelidir.
- 5 Kasım 2016 veya daha yeni güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
- 6 Kasım 2016 veya daha yeni güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
İş ortaklarının, ele aldıkları tüm sorunlara yönelik düzeltmeleri tek bir güncellemede toplamaları önerilir.
3. Her sorundan hangi Google cihazlarının etkilendiğini nasıl belirleyebilirim?
2016-11-01 , 2016-11-05 ve 2016-11-06 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen etkilenen Google cihazlarının aralığını kapsayan bir Güncellenmiş Google cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Google cihazları : Bir sorun tüm Nexus ve Pixel cihazlarını etkiliyorsa, tablonun Güncellenen Google cihazları sütununda "Tümü" olacaktır. "Tümü" şu desteklenen cihazları kapsar: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ve Pixel XL.
- Bazı Google cihazları : Bir sorun tüm Google cihazlarını etkilemiyorsa, etkilenen Google cihazları Güncellenen Google cihazları sütununda listelenir.
- Google cihazı yok : Android 7.0 çalıştıran hiçbir Google cihazı sorundan etkilenmiyorsa, tablonun Güncellenen Google cihazları sütununda "Yok" ifadesi görünür.
4. Referanslar sütunundaki girişler neyle eşleşir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler şu şekilde eşlenir:
| Önek | Referans |
|---|---|
| A- | Android hata kimliği |
| KK- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
Revizyonlar
- 07 Kasım 2016: Bülten yayınlandı.
- 08 Kasım: Bülten, AOSP bağlantılarını ve CVE-2016-6709 için güncellenmiş açıklamayı içerecek şekilde revize edildi.
- 17 Kasım: Bülten, CVE-2016-6828 için atıf içerecek şekilde revize edildi.
- 21 Aralık: Güncellenmiş araştırmacı kredisi.