Android Güvenlik Bülteni—Temmuz 2016

06 Temmuz 2016 tarihinde yayınlandı | 1 Nisan 2019'da güncellendi

Android Güvenlik Bülteni, Android cihazlarını etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncellemesi aracılığıyla Nexus cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Nexus üretici yazılımı görüntüleri de Google Developer sitesinde yayınlandı. 05 Temmuz 2016 veya sonraki güvenlik düzeltme eki seviyeleri, bu bültendeki tüm geçerli sorunları ele almaktadır. Güvenlik düzeltme eki düzeyini nasıl kontrol edeceğinizi öğrenmek için belgelere bakın.

Ortaklar, bültende açıklanan sorunlar hakkında 06 Haziran 2016 veya daha önce bilgilendirildi. Uygun olduğunda, bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlanmıştır. Bu bülten ayrıca AOSP dışındaki yamalara bağlantılar içerir.

Bu sorunlardan en ciddi olanı, medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden çok yöntemle etkilenen bir cihazda uzaktan kod yürütülmesine olanak verebilecek bir Kritik güvenlik açığıdır. Önem derecesi değerlendirmesi , platform ve hizmet azaltmalarının geliştirme amaçları için devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın muhtemelen etkilenen bir cihaz üzerindeki etkisine dayanır.

Yeni bildirilen bu sorunların aktif müşteri istismarı veya kötüye kullanımıyla ilgili herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltma bölümüne bakın.

Tüm müşterilerimizi cihazlarında bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Bu bülten, Android iş ortaklarına tüm Android cihazlarda benzer bir güvenlik açığı alt kümesini düzeltmek için daha hızlı hareket etme esnekliği sağlamak için iki güvenlik düzeltme eki düzeyi dizesi tanımlar. Ek bilgi için Genel sorular ve yanıtlara bakın:
    • 2016-07-01 : Kısmi güvenlik yaması düzeyi dizesi. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-07-01 ile ilişkili tüm sorunların ele alındığını gösterir.
    • 2016-07-05 : Güvenlik yaması düzeyi dizesini tamamlayın. Bu güvenlik düzeltme eki düzeyi dizesi, 2016-07-01 ve 2016-07-05 ile ilişkili tüm sorunların ele alındığını gösterir.
  • Desteklenen Nexus cihazları, 05 Temmuz 2016 güvenlik yaması düzeyiyle tek bir OTA güncellemesi alacak.

Android ve Google hizmeti azaltmaları

Bu, Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltmaların bir özetidir. Bu yetenekler, güvenlik açıklarından Android'de başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerinde yapılan geliştirmeler sayesinde Android'deki birçok sorundan yararlanma daha zor hale getirildi. Tüm kullanıcıları, mümkün olduğunda Android'in en son sürümüne güncellemeye teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanım durumunu aktif olarak izler. Uygulamaları Doğrula, Google Mobil Hizmetleri olan cihazlarda varsayılan olarak etkindir ve özellikle Google Play'in dışından uygulama yükleyen kullanıcılar için önemlidir. Google Play'de cihaz köklendirme araçları yasaktır, ancak Uygulamaları Doğrula, tespit edilen bir köklendirme uygulamasını yüklemeye çalıştıklarında, nereden gelirse gelsin kullanıcıları uyarır. Ayrıca, Verify Apps, bir ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaların yüklenmesini belirlemeye ve engellemeye çalışır. Böyle bir uygulama zaten yüklenmişse, Uygulamaları Doğrula, kullanıcıyı bilgilendirir ve algılanan uygulamayı kaldırmaya çalışır.
  • Uygun olduğu şekilde, Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak iletmez.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür etmek isteriz:

  • Google Chrome Güvenlik Ekibinden Abhishek Arya, Oliver Chang ve Martin Barbella: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • Adam Donenfeld ve ark. Check Point Software Technologies Ltd.'den: CVE-2016-2503
  • Google'dan Adam Powell: CVE-2016-3752
  • Alex Chapman ve Paul Stone of Context Information Security: CVE-2016-3763
  • e2e- assure'dan Andy Tyler ( @ticarpi ) : CVE-2016-2457
  • Google Project Zero'dan Ben Hawkes: CVE-2016-3775
  • Chiachih Wu ( @chiachih_wu ), Yuan-Tsung Lo ( computernik@gmail.com ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
  • Google'dan Christopher Tate: CVE-2016-3759
  • KeenLab ( @keen_lab ), Tencent: CVE-2016-3762'den Di Shen ( @returnsme )
  • IceSword Lab, Qihoo 360 Technology Co. Ltd.'den Gengjia Chen ( @chengjia4574 ), pjf ( weibo.com/jfpan ) : CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804 , CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • Google Android Ekibinden Greg Kaiser: CVE-2016-3758
  • Mobile Safe Team'den Guang Gong (龚广) ( @oldfresher ), Qihoo 360 Technology Co. Ltd .: CVE-2016-3764
  • Alfa Ekibinden Hao Chen ve Guang Gong, Qihoo 360 Technology Co. Ltd .: CVE-2016-3792, CVE-2016-3768
  • Güvenlik Araştırma Laboratuvarı'ndan Hao Qin, Cheetah Mobile : CVE-2016-3754, CVE-2016-3766
  • IceSword Lab, Qihoo 360 Technology Co. Ltd'den Jianqiang Zhao ( @jianqiangzhao ) ve pjf ( weibo.com/jfpan ): CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
  • Google'dan Marco Nelissen: CVE-2016-3818
  • Google Project Zero Marka Markası: CVE-2016-3757
  • Michał Bednarski : CVE-2016-3750
  • Mingjian Zhou ( @Mingjian_Zhou ), Chiachih Wu ( @chiachih_wu ) ve C0RE Ekibinden Xuxian Jiang : CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • Alibaba Mobil Güvenlik Grubundan Peng Xiao, Chengming Yang, Ning You, Chao Yang ve Yang Ssong: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
  • Trend Micro'dan Peter Pi ( @heisecode ): CVE-2016-3793
  • Google'dan Ricky Wai: CVE-2016-3749
  • Roeland Krak: CVE-2016-3753
  • Scott Bauer ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • Vasiliy Vasilev: CVE-2016-2507
  • Alibaba Inc.'in Weichao Sun ( @sunblate ) : CVE-2016-2508, CVE-2016-3755
  • Wen Niu ( @NWMonster ) KeenLab ( @keen_lab ), Tencent: CVE-2016-3809
  • Tencent Güvenlik Platformu Departmanından Xiling Gong: CVE-2016-3745
  • TCA Laboratuvarı'ndan Yacong Gu, Yazılım Enstitüsü, Çin Bilimler Akademisi: CVE-2016-3761
  • Xuanwu LAB'den Yongke Wang ( @Rudykewang ), Tencent: CVE-2016-2505
  • Xuanwu LAB, Tencent'ten Yongke Wang ( @Rudykewang ) ve Wei Wei ( @Danny__Wei ) Tencent: CVE-2016-2506
  • Baidu X-Lab'dan Yulong Zhang ve Tao (Lenx) Wei: CVE-2016-3744

2016-07-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-07-01 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

Mediaserver'da uzaktan kod yürütme güvenlik açığı

Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında belleğin bozulmasına neden olabilir. Mediaserver süreci bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir. Mediaserver işleminin ses ve video akışlarına erişiminin yanı sıra üçüncü taraf uygulamaların normalde erişemediği ayrıcalıklara erişimi vardır.

Etkilenen işlevsellik, işletim sisteminin temel bir parçası olarak sağlanır ve uzak içerikle, özellikle de MMS ve tarayıcıdan medya oynatmayla ulaşılmasına izin veren birden çok uygulama vardır.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2506 A-28175045 kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 Nis 2016
CVE-2016-2505 A-28333006 kritik Tüm Bağlantılar 6.0, 6.0.1 21 Nis 2016
CVE-2016-2507 A-28532266 kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 Mayıs 2016
CVE-2016-2508 A-28799341 [ 2 ] kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 Mayıs 2016
CVE-2016-3741 A-28165661 [ 2 ] kritik Tüm Bağlantılar 6.0, 6.0.1 Google dahili
CVE-2016-3742 A-28165659 kritik Tüm Bağlantılar 6.0, 6.0.1 Google dahili
CVE-2016-3743 A-27907656 kritik Tüm Bağlantılar 6.0, 6.0.1 Google dahili

OpenSSL ve BoringSSL'de uzaktan kod yürütme güvenlik açığı

OpenSSL ve BoringSSL'deki bir uzaktan kod yürütme güvenlik açığı, bir saldırganın özel hazırlanmış bir dosya kullanmasına, dosya ve veri işleme sırasında belleğin bozulmasına neden olabilir. Etkilenen bir süreç bağlamında uzaktan kod yürütme olasılığı nedeniyle bu sorun Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2108 A-28175332 kritik Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 Mayıs 2016

Bluetooth'ta uzaktan kod yürütme güvenlik açığı

Bluetooth'taki bir uzaktan kod yürütme güvenlik açığı, yakın bir saldırganın eşleştirme işlemi sırasında rasgele kod yürütmesine izin verebilir. Bir Bluetooth cihazının başlatılması sırasında uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3744 A-2793058 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 30 Mart 2016

libpng'de ayrıcalık yükselmesi güvenlik açığı

libpng'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği İmza veya İmza veya Sistem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabileceğinden Yüksek olarak derecelendirilir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3751 A-23265085 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 Ara 2015

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, yükseltilmiş bir sistem uygulaması bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, bir üçüncü taraf uygulamasının erişemeyeceği İmza veya İmza veya Sistem izin ayrıcalıkları gibi yükseltilmiş yeteneklere yerel erişim elde etmek için kullanılabileceğinden Yüksek olarak derecelendirilir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3745 A-28173666 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 Nis 2016
CVE-2016-3746 A-27890802 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 Mart 2016
CVE-2016-3747 A-27903498 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 Mart 2016

Soketlerde ayrıcalık yükselmesi güvenlik açığı

Soketlerdeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, izin düzeyinin dışındaki sistem çağrılarına erişmesine olanak verebilir. Saldırganların platformdan yararlanmasını zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebileceği için bu sorun Yüksek olarak derecelendirildi.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3748 A-28171804 Yüksek Tüm Bağlantılar 6.0, 6.0.1 13 Nis 2016

LockSettingsService'te ayrıcalık yükselmesi güvenlik açığı

LockSettingsService'teki bir ayrıcalık yükselmesi güvenlik açığı, kötü amaçlı bir uygulamanın, kullanıcının izni olmadan ekran kilidi parolasını sıfırlamasına olanak verebilir. Bu sorun, herhangi bir geliştirici veya güvenlik ayarı değişikliği için kullanıcı etkileşimi gereksinimlerinin yerel olarak atlanması olduğu için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3749 A-28163930 Yüksek Tüm Bağlantılar 6.0, 6.0.1 Google dahili

Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı

Parcels Framework API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak verebilir. Bu sorun, uygulamanın erişimi olmayan verilere erişim elde etmek için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3750 A-28395952 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 Aralık 2015

ChooserTarget hizmetinde ayrıcalık yükselmesi güvenlik açığı

ChooserTarget hizmetindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın başka bir uygulama bağlamında kod yürütmesine olanak verebilir. Bu sorun, izinsiz olarak başka bir uygulamaya ait Etkinliklere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3752 A-28384423 Yüksek Tüm Bağlantılar 6.0, 6.0.1 Google dahili

Mediaserver'da bilginin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, uzaktaki bir saldırganın normalde yalnızca izin isteyen yerel olarak yüklenmiş uygulamalar tarafından erişilebilen korumalı verilere erişmesine olanak verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3753 A-27210135 Yüksek Hiçbiri* 4.4.4 15 Şub 2016

* Mevcut tüm güncellemeleri yükleyen desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.

OpenSSL'de bilginin açığa çıkması güvenlik açığı

OpenSSL'deki bir bilginin açığa çıkması güvenlik açığı, uzaktaki bir saldırganın normalde yalnızca izin isteyen yerel olarak yüklenmiş uygulamalar tarafından erişilebilen korumalı verilere erişmesine olanak verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-2107 A-28550804 Yüksek Hiçbiri* 4.4.4, 5.0.2, 5.1.1 13 Nisan 2016

* Mevcut tüm güncellemeleri yükleyen desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Geçici olarak uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3754 A-28615448 [ 2 ] Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 Mayıs 2016
CVE-2016-3755 A-28470138 Yüksek Tüm Bağlantılar 6.0, 6.0.1 29 Nis 2016
CVE-2016-3756 A-28556125 Yüksek Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

libc'de hizmet reddi güvenlik açığı

libc'deki bir hizmet reddi güvenlik açığı, bir saldırganın özel hazırlanmış bir dosyayı kullanarak aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3818 A-28740702 [ 2 ] Yüksek Hiçbiri* 4.4.4 Google dahili

* Mevcut tüm güncellemeleri yükleyen desteklenen Nexus cihazları bu güvenlik açığından etkilenmez.

lsof'ta ayrıcalık yükselmesi güvenlik açığı

lsof'ta bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, kalıcı bir aygıt güvenliğinin aşılmasına neden olabilecek rastgele kod yürütmesine olanak verebilir. Bu sorun, olağandışı manuel adımlar gerektirdiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3757 A-28175237 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 Nis 2016

DexClassLoader'da ayrıcalık yükselmesi güvenlik açığı

DexClassLoader'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın ayrıcalıklı bir işlem bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, olağandışı manuel adımlar gerektirdiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3758 A-27840771 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

Framework API'lerinde ayrıcalık yükselmesi güvenlik açığı

Framework API'lerinde bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın yedekleme izinleri istemesine ve tüm yedekleme verilerini ele geçirmesine olanak verebilir. Uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamak için belirli izinler gerektirdiğinden bu sorun Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3759 A-28406080 Ilıman Tüm Bağlantılar 5.0.2, 5.1.1, 6.0, 6.0.1 Google dahili

Bluetooth'ta ayrıcalık yükselmesi güvenlik açığı

Bluetooth bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir saldırganın birincil kullanıcı için devam eden kimliği doğrulanmış bir Bluetooth aygıtı eklemesine olanak verebilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3760 A-27410683 [ 2 ] [ 3 ] Ilıman Tüm Bağlantılar 5.0.2, 5.1.1, 6.0, 6.0.1 29 Şub 2016

NFC'de ayrıcalık yükselmesi güvenlik açığı

NFC'deki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı arka plan uygulamasının bir ön plan uygulamasından bilgilere erişmesini sağlayabilir. Bu sorun, açık kullanıcı izni olmadan yükseltilmiş yetenekler elde etmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3761 A-2830969 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 20 Nis 2016

Soketlerde ayrıcalık yükselmesi güvenlik açığı

Soketlerdeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın, muhtemelen çekirdek bağlamında rastgele kod yürütülmesine yol açan belirli yaygın olmayan yuva türlerine erişmesine olanak verebilir. Saldırganların platformdan yararlanmasını zorlaştıracak güvenlik önlemlerinin atlanmasına izin verebileceği için bu sorun Orta olarak derecelendirildi.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3762 A-28612709 Ilıman Tüm Bağlantılar 5.0.2, 5.1.1, 6.0, 6.0.1 21 Nis 2016

Proxy Otomatik Yapılandırmasında bilginin açığa çıkması güvenlik açığı

Proxy Otomatik Yapılandırma bileşenindeki bir bilginin açığa çıkması güvenlik açığı, bir uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3763 A-27593919 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 Mart 2016

Mediaserver'da bilginin açığa çıkması güvenlik açığı

Mediaserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel bir kötü amaçlı uygulamanın hassas bilgilere erişmesine izin verebilir. Bu sorun, verilere izinsiz olarak erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3764 A-28377502 Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 Nis 2016
CVE-2016-3765 A-28168413 Ilıman Tüm Bağlantılar 6.0, 6.0.1 8 Nis 2016

Mediaserver'da hizmet reddi güvenlik açığı

Mediaserver'daki bir hizmet reddi güvenlik açığı, bir saldırganın, aygıtın askıda kalmasına veya yeniden başlatılmasına neden olmak için özel hazırlanmış bir dosya kullanmasına olanak verebilir. Bu sorun, uzaktan hizmet reddi olasılığı nedeniyle Orta olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Güncellenmiş AOSP sürümleri Bildirilen tarih
CVE-2016-3766 A-28471206 [ 2 ] Ilıman Tüm Bağlantılar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 Nis 2016

2016-07-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2016-07-05 yama düzeyi için geçerli olan güvenlik açıklarının her biri için ayrıntılar sunuyoruz. Sorunun açıklaması, önem derecesi gerekçesi ve CVE, ilgili referanslar, önem derecesi, güncellenmiş Nexus cihazları, güncellenmiş AOSP sürümleri (varsa) ve rapor edilen tarihi içeren bir tablo vardır. Mevcut olduğunda, sorunu ele alan genel değişikliği AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, hata kimliğini izleyen sayılara ek referanslar bağlanır.

Qualcomm GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2503 A-28084795* QC-CR1006067 kritik Nexus 5X, Nexus 6P 5 Nis 2016
CVE-2016-2067 A-28305757 QC-CR988993 kritik Nexus 5X, Nexus 6, Nexus 6P 20 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3767 A-28169363*
M-ALPS02689526
kritik Android Bir 6 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm performans bileşeninde ayrıcalık yükselmesi güvenlik açığı

Qualcomm performans bileşenindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3768 A-28172137* QC-CR1010644 kritik Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) 9 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

NVIDIA video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3769 A-28376656*
N-CVE20163769
kritik Bağlantı Noktası 9 18 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek sürücülerinde ayrıcalık yükselmesi güvenlik açığı (Cihaza özel)

Birden çok MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3770 A-28346752*
M-ALPS02703102
kritik Android Bir 22 Nis 2016
CVE-2016-3771 A-29007611*
M-ALPS02703102
kritik Android Bir 22 Nis 2016
CVE-2016-3772 A-29008188*
M-ALPS02703102
kritik Android Bir 22 Nis 2016
CVE-2016-3773 A-29008363*
M-ALPS02703102
kritik Android Bir 22 Nis 2016
CVE-2016-3774 A-29008609*
M-ALPS02703102
kritik Android Bir 22 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3775 A-28588279* kritik Nexus 5X, Nexus 6, Nexus 6P ve Nexus Oynatıcı, Pixel C 4 Mayıs 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı

USB sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliğinin ihlal edilmesi olasılığı nedeniyle Kritik önem derecesi olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2015-8816 A-28712303* kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Oynatıcı, Piksel C 4 Mayıs 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm bileşenlerinde ayrıcalık yükselmesi güvenlik açığı

Aşağıdaki tablo, önyükleyici, kamera sürücüsü, karakter sürücüsü, ağ iletişimi, ses sürücüsü ve video sürücüsü dahil olmak üzere Qualcomm bileşenlerini etkileyen güvenlik açıklarını içermektedir.

Bu sorunlardan en ağır olanı, yerel kalıcı bir aygıt güvenliği ihlali olasılığına yol açan ve aygıtı onarmak için işletim sisteminin yeniden başlatılmasını gerektirebilecek rastgele kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilir.

CVE Referanslar önem* Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2014-9795 A-28820720
QC-CR681957 [ 2 ]
kritik Nexus 5 8 Ağu 2014
CVE-2014-9794 A-28821172
QC-CR646385
kritik Nexus 7 (2013) 8 Ağu 2014
CVE-2015-8892 A-28822807
QC-CR902998
kritik Nexus 5X, Nexus 6P 30 Ara 2015
CVE-2014-9781 A-28410333
QC-CR556471
Yüksek Nexus 7 (2013) 6 Şub 2014
CVE-2014-9786 A-28557260
QC-CR545979
Yüksek Nexus 5, Nexus 7 (2013) 13 Mart 2014
CVE-2014-9788 A-28573112
QC-CR548872
Yüksek Nexus 5 13 Mart 2014
CVE-2014-9779 A-28598347
QC-CR548679
Yüksek Nexus 5 13 Mart 2014
CVE-2014-9780 A-28602014
QC-CR542222
Yüksek Nexus 5, Nexus 5X, Nexus 6P 13 Mart 2014
CVE-2014-9789 A-28749392
QC-CR556425
Yüksek Nexus 5 13 Mart 2014
CVE-2014-9793 A-28821253
QC-CR580567
Yüksek Nexus 7 (2013) 13 Mart 2014
CVE-2014-9782 A-28431531
QC-CR511349
Yüksek Nexus 5, Nexus 7 (2013) 31 Mart 2014
CVE-2014-9783 A-28441831
QC-CR511382 [ 2 ]
Yüksek Nexus 7 (2013) 31 Mart 2014
CVE-2014-9785 A-28469042
QC-CR545747
Yüksek Nexus 7 (2013) 31 Mart 2014
CVE-2014-9787 A-28571496
QC-CR545764
Yüksek Nexus 7 (2013) 31 Mart 2014
CVE-2014-9784 A-28442449
QC-CR585147
Yüksek Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9777 A-28598501
QC-CR563654
Yüksek Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9778 A-28598515
QC-CR563694
Yüksek Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9790 A-28769136
QC-CR545716 [ 2 ]
Yüksek Nexus 5, Nexus 7 (2013) 30 Nis 2014
CVE-2014-9792 A-28769399
QC-CR550606
Yüksek Nexus 5 30 Nis 2014
CVE-2014-9797 A-28821090
QC-CR674071
Yüksek Nexus 5 3 Tem 2014
CVE-2014-9791 A-28803396
QC-CR659364
Yüksek Nexus 7 (2013) 29 Ağu 2014
CVE-2014-9796 A-28820722
QC-CR684756
Yüksek Nexus 5, Nexus 7 (2013) 30 Eylül 2014
CVE-2014-9800 A-28822150
QC-CR692478
Yüksek Nexus 5, Nexus 7 (2013) 31 Ekim 2014
CVE-2014-9799 A-28821731
QC-CR691916
Yüksek Nexus 5, Nexus 7 (2013) 31 Ekim 2014
CVE-2014-9801 A-28822060
QC-CR705078
Yüksek Nexus 5 28 Kasım 2014
CVE-2014-9802 A-28821965
QC-CR705108
Yüksek Nexus 5, Nexus 7 (2013) 31 Aralık 2014
CVE-2015-8891 A-28842418
QC-CR813930
Yüksek Nexus 5, Nexus 7 (2013) 29 Mayıs 2015
CVE-2015-8888 A-28822465
QC-CR813933
Yüksek Nexus 5 30 Haz 2015
CVE-2015-8889 A-28822677
QC-CR804067
Yüksek Nexus 6P 30 Haz 2015
CVE-2015-8890 A-28822878
QC-CR823461
Yüksek Nexus 5, Nexus 7 (2013) 19 Ağu 2015

* Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanır.

Qualcomm USB sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm USB sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2502 A-27657963 QC-CR997044 Yüksek Nexus 5X, Nexus 6P 11 Mart 2016

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3792 A-27725204 QC-CR561022 Yüksek Nexus 7 (2013) 17 Mart 2016

Qualcomm kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-2501 A-27890772* QC-CR1001092 Yüksek Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 27 Mart 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

NVIDIA kamera sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA kamera sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3793 A-28026625*
N-CVE20163793
Yüksek Bağlantı Noktası 9 5 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek güç sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek güç sürücüsündeki bir ayrıcalık yükseltmesi, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesini sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3795 A-28085222*
M-ALPS02677244
Yüksek Android Bir 7 Nis 2016
CVE-2016-3796 A-29008443*
M-ALPS02677244
Yüksek Android Bir 7 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3797 A-28085680* QC-CR1001450 Yüksek Nexus 5X 7 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek donanım sensörü sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek donanım algılayıcı sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3798 A-28174490*
M-ALPS02703105
Yüksek Android Bir 11 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek video sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek video sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3799 A-28175025*
M-ALPS02693738
Yüksek Android Bir 11 Nis 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739
Yüksek Android Bir 11 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

MediaTek GPS sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek GPS sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiği için Yüksek olarak derecelendirilmiştir.

CVE Referanslar önem Güncellenmiş Nexus cihazları Bildirilen tarih
CVE-2016-3801 A-28174914*
M-ALPS02688853
Yüksek Android Bir 11 Nis 2016

* Bu sorunla ilgili yama herkese açık değildir. Güncelleme, Google Developer sitesinde bulunan Nexus cihazlarının en son ikili sürücülerinde bulunur.

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel bir kötü amaçlı uygulamanın çekirdek bağlamında rasgele kod yürütmesine olanak verebilir. This issue is rated as High because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3802 A-28271368* Yüksek Nexus 9 Apr 19, 2016
CVE-2016-3803 A-28588434* Yüksek Nexus 5X, Nexus 6P May 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek power management driver

An elevation of privilege in the MediaTek power management driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3804 A-28332766*
M-ALPS02694410
Yüksek Android One Apr 20, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
Yüksek Android One Apr 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek display driver

An elevation of privilege vulnerability in the MediaTek display driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3806 A-28402341*
M-ALPS02715341
Yüksek Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in serial peripheral interface driver

An elevation of privilege vulnerability in the serial peripheral interface driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3807 A-28402196* Yüksek Nexus 5X, Nexus 6P Apr 26, 2016
CVE-2016-3808 A-28430009* Yüksek Pixel C Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm sound driver

An elevation of privilege vulnerability in the Qualcomm sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High severity because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-2068 A-28470967 QC-CR1006609 Yüksek Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 28, 2016

Elevation of privilege vulnerability in kernel

An elevation of privilege vulnerability in the kernel could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2014-9803 A-28557020
yukarı akış çekirdeği
Yüksek Nexus 5X, Nexus 6P Google internal

Information disclosure vulnerability in networking component

An information disclosure vulnerability in the networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3809 A-27532522* Yüksek All Nexus Mar 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek Wi-Fi driver

An information disclosure vulnerability in the MediaTek Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3810 A-28175522*
M-ALPS02694389
Yüksek Android One Apr 12, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel video driver

An elevation of privilege vulnerability in the kernel video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3811 A-28447556* Ilıman Nexus 9 Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek video codec driver

An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3812 A-28174833*
M-ALPS02688832
Ilıman Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm USB driver

An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3813 A-28172322* QC-CR1010222 Ilıman Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the NVIDIA camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3814 A-28193342*
N-CVE20163814
Ilıman Nexus 9 Apr 14, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
Ilıman Nexus 9 May 1, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek display driver

An information disclosure vulnerability in the MediaTek display driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-3816 A-28402240* Ilıman Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel teletype driver

An information disclosure vulnerability in the teletype driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2016-0723 A-28409131
yukarı akış çekirdeği
Ilıman Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C Apr 26, 2016

Denial of service vulnerability in Qualcomm bootloader

A denial of service vulnerability in the Qualcomm bootloader could enable a local malicious application to cause a local permanent device compromise, which may require reflashing the operating system to repair the device. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE Referanslar önem Updated Nexus devices Date reported
CVE-2014-9798 A-28821448 QC-CR681965 Ilıman Nexus 5 Oct 31, 2014
CVE-2015-8893 A-28822690 QC-CR822275 Ilıman Nexus 5, Nexus 7 (2013) Aug 19, 2015

Sık sorulan sorular ve cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlamaktadır.

1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl belirleyebilirim?

Security Patch Levels of 2016-07-01 or later address all issues associated with the 2016-7-01 security patch string level. Security Patch Levels of 2016-07-05 or later address all issues associated with the 2016-07-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-07-01] or [ro.build.version.security_patch]:[2016-07-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of July 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the July 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use July 1, 2016 security patch level may also include a subset of fixes associated with the July 5, 2016 security patch level.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-07-01 and 2016-07-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. These prefixes map as follows:

Önek Referans
A- Android hata kimliği
KK- Qualcomm referans numarası
M- MediaTek referans numarası
N- NVIDIA referans numarası

Revisions

  • July 06, 2016: Bulletin published.
  • July 07, 2016:
    • Added AOSP links.
    • Removed CVE-2016-3794 because it is a duplicate of CVE-2016-3814
    • Added attribution for CVE-2016-2501 and CVE-2016-2502
  • July 11, 2016: Updated attribution for CVE-2016-3750
  • July 14, 2016: Updated attribution for CVE-2016-2503
  • April 1, 2019: Updated patch links for CVE-2016-3818