06 Şubat 2017 tarihinde yayınlandı | 8 Şubat 2017'de güncellendi
Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) bir güncelleme aracılığıyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazı donanım yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Şubat 2017 veya sonraki güvenlik yaması seviyeleri, tüm bu sorunları giderir. Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme planına bakın.
Ortaklar, bültende açıklanan sorunlar hakkında 03 Ocak 2017 veya daha önce bilgilendirildi. Bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayınlandı ve bu bültenden bağlantı verildi. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.
Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerindeki etkisine dayanır.
Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımı hakkında herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılı bilgi için Android ve Google hizmeti azaltma bölümüne bakın.
Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.
Duyurular
- Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini daha hızlı düzeltme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyinde dizeye sahiptir. Ek bilgi için Genel sorular ve yanıtlara bakın:
- 2017-02-01 : Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2017-02-01 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
- 2017-02-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik düzeltme eki düzeyi dizesi, 2017-02-01 ve 2017-02-05 (ve önceki tüm güvenlik düzeltme eki düzeyi dizeleri) ile ilişkili tüm sorunların ele alındığını gösterir.
- Desteklenen Google cihazları, 05 Şubat 2017 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacaktır.
Android ve Google hizmeti azaltmaları
Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.
- Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirilmiştir. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
- Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanmış olan Verify Apps ve SafetyNet ile kötüye kullanımı etkin bir şekilde izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirecek ve algılanan uygulamayı kaldırmaya çalışacaktır.
- Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.
Teşekkür
Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:
- Daniel Dakhno: CVE-2017-0420
- Copperhead Security'den Daniel Micay: CVE-2017-0410
- Dzmitry Lukyanenka : CVE-2017-0414
- Chrome'dan Frank Liberato: CVE-2017-0409
- Sıfır Projesi'nden Gal Beniamini: CVE-2017-0411, CVE-2017-0412
- Gengjia Chen ( @chengjia4574 ) ve IceSword Lab, Qihoo 360 Technology Co. Ltd.'nin pjf'si: CVE-2017-0434, CVE-2017-0446, CVE-2017-0447, CVE-2017-0432
- Alfa Ekibinden Guang Gong (龚广) ( @oldfresher ), Qihoo 360 Technology Co.Ltd : CVE-2017-0415
- C0RE Ekibinden Hanxiang Wen , Wenke Dou , Mingjian Zhou ( @Mingjian_Zhou ) ve Xuxian Jiang: CVE-2017-0418
- Alfa Ekibinden Hao Chen ve Guang Gong, Qihoo 360 Technology Co. Ltd.: CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016 -8421, CVE-2017-0441, CVE-2017-0442, CVE-2016-8476, CVE-2017-0443
- Google'dan Jeff Sharkey: CVE-2017-0421, CVE-2017-0423
- Jeff Trim: CVE-2017-0422
- Jianqiang Zhao ( @jianqiangzhao ) ve IceSword Lab'den pjf , Qihoo 360: CVE-2017-0445
- LINE Corporation'dan ma.la ve Nikolay Elenkov: CVE-2016-5552
- Google'ın Max Spector: CVE-2017-0416
- Mingjian Zhou ( @Mingjian_Zhou ), Yuqi Lu ( @nikos233 ) ve C0RE Ekibinden Xuxian Jiang : CVE-2017-0425
- Qidan He (何淇丹) ( @flanker_hqd ) ve Di Shen (申迪) ( @returnsme ) KeenLab, Tencent (腾讯科恩实验室): CVE-2017-0427
- IBM X-Force Research'ten Sagi Kedmi: CVE-2017-0433
- Copperhead Security'den Scott Bauer ( @ScottyBauer1 ) ve Daniel Micay: CVE-2017-0405
- Trend Micro Mobil Tehdit Araştırma Ekibinden Seven Shen ( @lingtongshen ): CVE-2017-0449, CVE-2016-8418
- C0RE Ekibinden Tong Lin , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) ve Xuxian Jiang : CVE-2017-0436, CVE-2016-8481, CVE-2017-0435
- Mobile Threat Response Team'in VEO'su ( @VYSEa ), Trend Micro : CVE-2017-0424
- Alibaba Inc.'den Weichao Sun ( @sunblate ): CVE-2017-0407
- Wenke Dou , Hongli Han , Mingjian Zhou ( @Mingjian_Zhou ) ve C0RE Ekibinden Xuxian Jiang : CVE-2017-0450
- Wenke Dou , Yuqi Lu ( @nikos233 ) , Mingjian Zhou ( @Mingjian_Zhou ) ve C0RE Ekibinden Xuxian Jiang : CVE-2017-0417
- Ant-financial Light-Year Security Lab'den Wish Wu ( @wish_wu ) (吴潍浠此彼): CVE-2017-0408
- Yao Jun , Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-8480
- Yuan-Tsung Lo , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2017-0444
- Yuan-Tsung Lo , Tong Lin , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2017-0428
- Yuan-Tsung Lo , Xiaodong Wang , Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2017-0448, CVE-2017-0429
- NSFocus'tan Zhen Zhou ( @henices ) ve Zhixin Li : CVE- 2017-0406
Bu bültene katkılarından dolayı aşağıdakilere de teşekkür etmek isteriz:
- Baidu X-Lab'dan (百度安全实验室) Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) ve Lenx Wei (韦韬)
2017-02-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2017-02-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Surfaceflinger'da uzaktan kod yürütme güvenlik açığı
Surfaceflinger'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Surfaceflinger işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0405 | A-31960359 | kritik | Herşey | 7.0, 7.1.1 | 4 Ekim 2016 |
Mediaserver'da uzaktan kod yürütme güvenlik açığı
Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0406 | A-32915871 [ 2 ] | kritik | Herşey | 6.0, 6.0.1, 7.0, 7.1.1 | 14 Kasım 2016 |
| CVE-2017-0407 | A-32873375 | kritik | Herşey | 6.0, 6.0.1, 7.0, 7.1.1 | 12 Kasım 2016 |
libgdx'te uzaktan kod yürütme güvenlik açığı
libgdx'teki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0408 | A-32769670 | Yüksek | Herşey | 7.1.1 | 9 Kasım 2016 |
libstagefright'ta uzaktan kod yürütme güvenlik açığı
libstagefright'taki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalığı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0409 | A-31999646 | Yüksek | Herşey | 6.0, 6.0.1, 7.0, 7.1.1 | Google dahili |
Java.Net'te ayrıcalık yükselmesi güvenlik açığı
Java.Net kitaplığında bir ayrıcalık yükselmesi, kötü niyetli web içeriğinin bir kullanıcıyı açık izin olmadan başka bir web sitesine yönlendirmesine olanak verebilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin uzaktan atlanması olduğu için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2016-5552 | A-31858037 | Yüksek | Herşey | 7.0, 7.1.1 | 30 Eylül 2016 |
Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı
Framework API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0410 | A-31929765 | Yüksek | Herşey | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 Ekim 2016 |
| CVE-2017-0411 | A-33042690 [ 2 ] | Yüksek | Herşey | 7.0, 7.1.1 | 21 Kasım 2016 |
| CVE-2017-0412 | A-33039926 [ 2 ] | Yüksek | Herşey | 7.0, 7.1.1 | 21 Kasım 2016 |
Mediaserver'da ayrıcalık yükselmesi güvenlik açığı
Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0415 | A-32706020 | Yüksek | Herşey | 6.0, 6.0.1, 7.0, 7.1.1 | 4 Kasım 2016 |
Audioserver'da ayrıcalık yükselmesi güvenlik açığı
Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun Yüksek olarak derecelendirilmiştir, çünkü normalde bir üçüncü taraf uygulaması tarafından erişilemeyen yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabilir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0416 | A-32886609 [ 2 ] | Yüksek | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google dahili |
| CVE-2017-0417 | A-32705438 | Yüksek | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 Kasım 2016 |
| CVE-2017-0418 | A-32703959 [ 2 ] | Yüksek | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 Kasım 2016 |
| CVE-2017-0419 | A-32220769 | Yüksek | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 Ekim 2016 |
AOSP Mail'de bilginin açığa çıkması güvenlik açığı
AOSP Mail'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, uygulamanın erişimi olmayan verilere erişim sağlamak için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0420 | A-32615212 | Yüksek | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 12 Eylül 2016 |
AOSP Mesajlaşma'da bilginin açığa çıkması güvenlik açığı
AOSP Messaging'deki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasını sağlayabilir. Bu sorun, uygulamanın erişimi olmayan verilere erişim sağlamak için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0413 | A-32161610 | Yüksek | Herşey | 6.0, 6.0.1, 7.0, 7.1.1 | 13 Ekim 2016 |
| CVE-2017-0414 | A-32807795 | Yüksek | Herşey | 6.0, 6.0.1, 7.0, 7.1.1 | 10 Kasım 2016 |
Framework API'lerinde bilginin açığa çıkması güvenlik açığı
Framework API'lerinde bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak verebilir. Bu sorun, uygulamanın erişimi olmayan verilere erişim sağlamak için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0421 | A-32555637 | Yüksek | Herşey | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | Google dahili |
Bionic DNS'de hizmet reddi güvenlik açığı
Bionic DNS'deki bir hizmet reddi güvenlik açığı, uzaktaki bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir ağ paketi kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0422 | A-32322088 | Yüksek | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 Ekim 2016 |
Bluetooth'ta ayrıcalık yükselmesi güvenlik açığı
Bluetooth'taki bir ayrıcalık yükselmesi güvenlik açığı, yakın bir saldırganın cihazdaki belgelere erişimi yönetmesine olanak sağlayabilir. Bu sorun, öncelikle Bluetooth yığınındaki ayrı bir güvenlik açığından yararlanılmasını gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0423 | A-32612586 | Ilıman | Herşey | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 Kasım 2016 |
AOSP Mesajlaşma'da bilginin açığa çıkması güvenlik açığı
AOSP Messaging'deki bir bilginin açığa çıkması güvenlik açığı, özel hazırlanmış bir dosya kullanan uzak bir saldırganın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, kullanıcı düzeyinde derinlemesine bir savunma için genel bir atlama olduğundan veya ayrıcalıklı bir süreçte azaltma teknolojisinden yararlandığından Orta olarak derecelendirilir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0424 | A-32322450 | Ilıman | Herşey | 6.0, 6.0.1, 7.0, 7.1.1 | 20 Ekim 2016 |
Audioserver'da bilginin açığa çıkması güvenlik açığı
Audioserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0425 | A-32720785 | Ilıman | Herşey | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 Kasım 2016 |
Dosya sisteminde bilginin açığa çıkması güvenlik açığı
Dosya sistemindeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak verebilir. Bu sorun, hassas verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Güncellenmiş AOSP sürümleri | Bildirilen tarih |
|---|---|---|---|---|---|
| CVE-2017-0426 | A-32799236 [ 2 ] | Ilıman | Herşey | 7.0, 7.1.1 | Google dahili |
2017-02-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 2017-02-05 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Google cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.
Qualcomm kripto sürücüsünde uzaktan kod yürütme güvenlik açığı
Qualcomm şifreleme sürücüsündeki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, çekirdek bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-8418 | A-32652894 QC-CR#1077457 | kritik | Hiçbiri* | 10 Ekim 2016 |
* Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0427 | A-31495866* | kritik | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 Eylül 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı
NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0428 | A-32401526* N-CVE-2017-0428 | kritik | Bağlantı Noktası 9 | 25 Ekim 2016 |
| CVE-2017-0429 | A-32636619* N-CVE-2017-0429 | kritik | Bağlantı Noktası 9 | 3 Kasım 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek ağ iletişimi alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2014-9914 | A-32882659 yukarı akış çekirdeği | kritik | Nexus 6, Nexus Oynatıcı | 9 Kasım 2016 |
Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0430 | A-32838767* B-RB#107459 | kritik | Nexus 6, Nexus 6P, Nexus 9, Piksel C, Nexus Oynatıcı | Google dahili |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm bileşenlerindeki güvenlik açıkları
Aşağıdaki güvenlik açığı Qualcomm bileşenlerini etkiler ve Qualcomm AMSS Eylül 2016 güvenlik bülteninde daha ayrıntılı olarak açıklanmıştır.
| CVE | Referanslar | önem* | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0431 | A-32573899** | kritik | Hiçbiri*** | Qualcomm dahili |
* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.
** Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
*** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
MediaTek sürücüsünde ayrıcalık yükselmesi güvenlik açığı
MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0432 | A-28332719* M-ALPS02708925 | Yüksek | Hiçbiri** | 21 Nis 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
** Mevcut tüm güncellemeleri yükleyen, Android 7.0 veya sonraki sürümlerde desteklenen Google cihazları bu güvenlik açığından etkilenmez.
Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın dokunmatik ekran yonga seti bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0433 | A-31913571* | Yüksek | Nexus 6P, Nexus 9, Android Bir, Piksel, Piksel XL | 8 Eylül 2016 |
| CVE-2017-0434 | A-33001936* | Yüksek | Piksel, Piksel XL | 18 Kasım 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Secure Execution Environment Communicator sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm Secure Execution Environment Communicator sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-8480 | A-31804432 QC-CR#1086186 [ 2 ] | Yüksek | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 Eylül 2016 |
Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-8481 | A-31906415* KK-CR#1078000 | Yüksek | Nexus 5X, Nexus 6P, Piksel, Piksel XL | 1 Ekim 2016 |
| CVE-2017-0435 | A-31906657* KK-CR#1078000 | Yüksek | Nexus 5X, Nexus 6P, Piksel, Piksel XL | 1 Ekim 2016 |
| CVE-2017-0436 | A-32624661* KK-CR#1078000 | Yüksek | Nexus 5X, Nexus 6P, Piksel, Piksel XL | 2 Kasım 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0437 | A-32402310 QC-CR#1092497 | Yüksek | Nexus 5X, Piksel, Piksel XL | 25 Ekim 2016 |
| CVE-2017-0438 | A-32402604 QC-CR#1092497 | Yüksek | Nexus 5X, Piksel, Piksel XL | 25 Ekim 2016 |
| CVE-2017-0439 | A-32450647 KK-CR#1092059 | Yüksek | Nexus 5X, Piksel, Piksel XL | 25 Ekim 2016 |
| CVE-2016-8419 | A-32454494 QC-CR#1087209 | Yüksek | Nexus 5X, Piksel, Piksel XL | 26 Ekim 2016 |
| CVE-2016-8420 | A-32451171 QC-CR#1087807 | Yüksek | Nexus 5X, Piksel, Piksel XL | 26 Ekim 2016 |
| CVE-2016-8421 | A-32451104 QC-CR#1087797 | Yüksek | Nexus 5X, Piksel, Piksel XL | 26 Ekim 2016 |
| CVE-2017-0440 | A-33252788 QC-CR#1095770 | Yüksek | Nexus 5X, Piksel, Piksel XL | 11 Kasım 2016 |
| CVE-2017-0441 | A-32872662 KK-CR#1095009 | Yüksek | Nexus 5X, Piksel, Piksel XL | 11 Kasım 2016 |
| CVE-2017-0442 | A-32871330 QC-CR#1092497 | Yüksek | Nexus 5X, Piksel, Piksel XL | 13 Kasım 2016 |
| CVE-2017-0443 | A-32877494 QC-CR#1092497 | Yüksek | Nexus 5X, Piksel, Piksel XL | 13 Kasım 2016 |
| CVE-2016-8476 | A-32879283 KK-CR#1091940 | Yüksek | Nexus 5X, Piksel, Piksel XL | 14 Kasım 2016 |
Realtek ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Realtek ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0444 | A-32705232* | Yüksek | Bağlantı Noktası 9 | 7 Kasım 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
HTC dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı
HTC dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0445 | A-32769717* | Yüksek | Piksel, Piksel XL | 9 Kasım 2016 |
| CVE-2017-0446 | A-32917445* | Yüksek | Piksel, Piksel XL | 15 Kasım 2016 |
| CVE-2017-0447 | A-32919560* | Yüksek | Piksel, Piksel XL | 15 Kasım 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
NVIDIA video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı
NVIDIA video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0448 | A-32721029* N-CVE-2017-0448 | Yüksek | Bağlantı Noktası 9 | 7 Kasım 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı
Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği ve mevcut platform yapılandırmaları tarafından hafifletildiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0449 | A-31707909* B-RB#32094 | Ilıman | Nexus 6, Nexus 6P | 23 Eylül 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Audioserver'da ayrıcalık yükselmesi güvenlik açığı
Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, mevcut platform yapılandırmaları tarafından hafifletildiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0450 | A-32917432* | Ilıman | Bağlantı Noktası 9 | 15 Kasım 2016 |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı
Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıkların yükseltilmesini önleyen korumaları atlamasına olanak verebilir. Bu sorun, kullanıcı düzeyinde derinlemesine bir savunma veya açıklardan yararlanma azaltma teknolojisi için genel bir atlama olduğu için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-10044 | A-31711619* | Ilıman | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | Google dahili |
* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.
Qualcomm Secure Execution Environment Communicator'da bilgi ifşası güvenlik açığı
Qualcomm Secure Execution Environment Communicator'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2016-8414 | A-31704078 QC-CR#1076407 | Ilıman | Nexus 5X, Nexus 6P, Android Bir, Piksel, Piksel XL | 23 Eylül 2016 |
Qualcomm ses sürücüsünde bilginin açığa çıkması güvenlik açığı
Qualcomm ses sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın izin düzeylerinin dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Orta olarak derecelendirilmiştir.
| CVE | Referanslar | önem | Google cihazları güncellendi | Bildirilen tarih |
|---|---|---|---|---|
| CVE-2017-0451 | A-31796345 QC-CR#1073129 [ 2 ] | Ilıman | Nexus 5X, Nexus 6P, Android Bir, Piksel, Piksel XL | 27 Eylül 2016 |
Genel Sorular ve Cevaplar
Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?
Bir cihazın güvenlik yama düzeyini nasıl kontrol edeceğinizi öğrenmek için Pixel ve Nexus güncelleme programındaki talimatları okuyun.
- 2017-02-01 veya sonraki sürümlerin güvenlik yaması seviyeleri, 2017-02-01 güvenlik yaması düzeyiyle ilişkili tüm sorunları ele alır.
- 2017-02-05 veya sonraki güvenlik yaması seviyeleri, 2017-02-05 güvenlik yaması seviyesi ve önceki tüm yama seviyeleri ile ilgili tüm sorunları ele alır.
Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır:
-
[ro.build.version.security_patch]:[2017-02-01] -
[ro.build.version.security_patch]:[2017-02-05]
2. Bu bültende neden iki güvenlik düzeltme eki düzeyi var?
Bu bültende, Android iş ortaklarının tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahip olması için iki güvenlik düzeltme eki düzeyi vardır. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik düzeltme eki düzeyini kullanmaları önerilir.
- 1 Şubat 2017 güvenlik düzeltme eki düzeyini kullanan cihazlar, söz konusu güvenlik düzeltme eki düzeyiyle ilişkili tüm sorunları ve önceki güvenlik bültenlerinde bildirilen tüm sorunların düzeltmelerini içermelidir.
- 5 Şubat 2017 veya daha yeni güvenlik düzeltme eki düzeyini kullanan aygıtlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.
İş ortaklarının, ele aldıkları tüm sorunlara yönelik düzeltmeleri tek bir güncellemede toplamaları önerilir.
3. Her sorundan hangi Google cihazlarının etkilendiğini nasıl belirleyebilirim?
2017-02-01 ve 2017-02-05 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen, etkilenen Google cihazlarının aralığını kapsayan bir Güncellenmiş Google cihazları sütunu bulunur. Bu sütunda birkaç seçenek vardır:
- Tüm Google cihazları : Bir sorun Tümünü ve Pixel cihazlarını etkiliyorsa, tablonun Güncellenen Google cihazları sütununda "Tümü" ifadesi görünür. "Tümü" şu desteklenen cihazları kapsar: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ve Pixel XL.
- Bazı Google cihazları : Bir sorun tüm Google cihazlarını etkilemiyorsa, etkilenen Google cihazları Güncellenen Google cihazları sütununda listelenir.
- Google cihazı yok : Android 7.0 çalıştıran hiçbir Google cihazı sorundan etkilenmiyorsa, tablonun Güncellenen Google cihazları sütununda "Yok" ifadesi görünür.
4. Referanslar sütunundaki girişler neyle eşleşir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler şu şekilde eşlenir:
| Önek | Referans |
|---|---|
| A- | Android hata kimliği |
| KK- | Qualcomm referans numarası |
| M- | MediaTek referans numarası |
| N- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
Revizyonlar
- 06 Şubat 2017: Bülten yayınlandı.
- 08 Şubat 2017: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.