Android Güvenlik Bülteni—Şubat 2017

06 Şubat 2017'de yayınlandı | 8 Şubat 2017'de güncellendi

Android Güvenlik Bülteni, Android cihazları etkileyen güvenlik açıklarının ayrıntılarını içerir. Bültenin yanı sıra, kablosuz (OTA) güncelleme yoluyla Google cihazlarına yönelik bir güvenlik güncellemesi yayınladık. Google cihazının donanım yazılımı görüntüleri de Google Geliştirici sitesinde yayınlandı. 05 Şubat 2017 veya sonraki güvenlik düzeltme eki düzeyleri bu sorunların tümüne yöneliktir. Bir cihazın güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Pixel ve Nexus güncelleme planına bakın.

Bültende açıklanan hususlar 03 Ocak 2017 veya öncesinde ortaklara bildirildi. Bu sorunlara ilişkin kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposunda yayımlandı ve bu bültenden bağlantı verildi. Bu bülten aynı zamanda AOSP dışındaki yamalara bağlantılar da içermektedir.

Bu sorunlardan en ciddi olanı, etkilenen bir cihazda medya dosyalarını işlerken e-posta, web'de gezinme ve MMS gibi birden fazla yöntemle uzaktan kod yürütülmesine olanak tanıyan Kritik bir güvenlik açığıdır. Önem derecesi değerlendirmesi, platform ve hizmet azaltımlarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen cihaz üzerinde yaratabileceği etkiye dayanmaktadır.

Yeni bildirilen bu sorunların aktif müşteri istismarına veya kötüye kullanıldığına dair herhangi bir rapor almadık. Android platformunun güvenliğini artıran SafetyNet gibi Android güvenlik platformu korumaları ve hizmet korumaları hakkında ayrıntılar için Android ve Google hizmeti azaltımları bölümüne bakın.

Tüm müşterilerimizi cihazlarına yönelik bu güncellemeleri kabul etmeye teşvik ediyoruz.

Duyurular

  • Bu bültende, Android iş ortaklarına, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliği sağlamak amacıyla iki güvenlik yaması düzeyi dizesi bulunmaktadır. Ek bilgi için Yaygın sorular ve yanıtlara bakın:
    • 2017-02-01 : Kısmi güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2017-02-01 ile ilişkili tüm sorunların (ve önceki tüm güvenlik yaması düzeyi dizeleri) giderildiğini gösterir.
    • 2017-02-05 : Tam güvenlik yaması düzeyi dizisi. Bu güvenlik yaması düzeyi dizesi, 2017-02-01 ve 2017-02-05 (ve önceki tüm güvenlik yaması düzeyi dizeleri) ile ilişkili tüm sorunların giderildiğini gösterir.
  • Desteklenen Google cihazları, 05 Şubat 2017 güvenlik yaması düzeyine sahip tek bir OTA güncellemesi alacaktır.

Android ve Google hizmet azaltımları

Bu , Android güvenlik platformu ve SafetyNet gibi hizmet korumaları tarafından sağlanan azaltıcı önlemlerin bir özetidir. Bu yetenekler, Android'de güvenlik açıklarından başarıyla yararlanma olasılığını azaltır.

  • Android platformunun daha yeni sürümlerindeki iyileştirmeler, Android'deki birçok sorundan yararlanmayı daha da zorlaştırıyor. Tüm kullanıcılarımızı mümkün olduğunca Android'in en son sürümüne güncelleme yapmaya teşvik ediyoruz.
  • Android Güvenlik ekibi, kullanıcıları Potansiyel Zararlı Uygulamalar konusunda uyarmak için tasarlanan Verify Apps ve SafetyNet ile kötüye kullanımı aktif olarak izliyor. Uygulamaları Doğrula, Google Mobil Hizmetlerine sahip cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir. Cihaz köklendirme araçları Google Play'de yasaktır, ancak Verify Apps, nereden gelirse gelsin algılanan bir köklendirme uygulamasını yüklemeye çalıştıklarında kullanıcıları uyarır. Ek olarak Verify Apps, ayrıcalık yükseltme güvenlik açığından yararlanan bilinen kötü amaçlı uygulamaları tanımlamaya ve bunların yüklenmesini engellemeye çalışır. Böyle bir uygulama zaten kuruluysa Verify Apps kullanıcıyı bilgilendirecek ve tespit edilen uygulamayı kaldırmaya çalışacaktır.
  • Uygun olduğu üzere Google Hangouts ve Messenger uygulamaları, medyayı Mediaserver gibi işlemlere otomatik olarak aktarmaz.

Teşekkür

Bu araştırmacılara katkılarından dolayı teşekkür ederiz:

Ayrıca bu bültene katkılarından dolayı aşağıdaki kişilere teşekkür ederiz:

  • Baidu X-Lab'dan (百度安全实验室) Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮) ve Lenx Wei (韦韬)

2017-02-01 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-02-01 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Surfaceflinger'da uzaktan kod yürütme güvenlik açığı

Surfaceflinger'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak verebilir. Bu sorun, Surfaceflinger işlemi kapsamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0405 A-31960359 Kritik Tüm 7.0, 7.1.1 4 Ekim 2016

Mediaserver'da uzaktan kod yürütme güvenlik açığı

Mediaserver'daki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın medya dosyası ve veri işleme sırasında bellek bozulmasına neden olmasına olanak verebilir. Bu sorun, Mediaserver işlemi bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0406 A-32915871 [ 2 ] Kritik Tüm 6.0, 6.0.1, 7.0, 7.1.1 14 Kasım 2016
CVE-2017-0407 A-32873375 Kritik Tüm 6.0, 6.0.1, 7.0, 7.1.1 12 Kasım 2016

Libgdx'te uzaktan kod yürütme güvenlik açığı

Libgdx'teki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı olmayan bir işlem bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0408 A-32769670 Yüksek Tüm 7.1.1 9 Kasım 2016

Libstagefright'ta uzaktan kod yürütme güvenlik açığı

Libstagefright'taki bir uzaktan kod yürütme güvenlik açığı, özel hazırlanmış bir dosya kullanan bir saldırganın ayrıcalıklı olmayan bir işlem bağlamında rasgele kod yürütmesine olanak sağlayabilir. Bu kitaplığı kullanan bir uygulamada uzaktan kod yürütme olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0409 A-31999646 Yüksek Tüm 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Java.Net'te ayrıcalık yükselmesi güvenlik açığı

Java.Net kitaplığında ayrıcalık yükselmesi, kötü amaçlı web içeriğinin bir kullanıcıyı açık izin olmadan başka bir web sitesine yönlendirmesine olanak tanıyabilir. Bu sorun, kullanıcı etkileşimi gereksinimlerinin uzaktan atlanması olduğundan Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2016-5552 A-31858037 Yüksek Tüm 7.0, 7.1.1 30 Eylül 2016

Çerçeve API'lerinde ayrıcalık yükselmesi güvenlik açığı

Çerçeve API'lerindeki ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0410 A-31929765 Yüksek Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 Ekim 2016
CVE-2017-0411 A-33042690 [ 2 ] Yüksek Tüm 7.0, 7.1.1 21 Kasım 2016
CVE-2017-0412 A-33039926 [ 2 ] Yüksek Tüm 7.0, 7.1.1 21 Kasım 2016

Mediaserver'da ayrıcalık yükselmesi güvenlik açığı

Mediaserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0415 A-32706020 Yüksek Tüm 6.0, 6.0.1, 7.0, 7.1.1 4 Kasım 2016

Audioserver'da ayrıcalık yükselmesi güvenlik açığı

Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, normalde üçüncü taraf bir uygulamanın erişemediği yükseltilmiş yeteneklere yerel erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0416 A-32886609 [ 2 ] Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google dahili
CVE-2017-0417 A-32705438 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 Kasım 2016
CVE-2017-0418 A-32703959 [ 2 ] Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 Kasım 2016
CVE-2017-0419 A-32220769 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 Ekim 2016

AOSP Mail'de bilginin açığa çıkması güvenlik açığı

AOSP Mail'deki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın erişim sahibi olmadığı verilere erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0420 A-32615212 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 12 Eylül 2016

AOSP Mesajlaşma'da bilginin açığa çıkması güvenlik açığı

AOSP Messaging'deki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın erişim sahibi olmadığı verilere erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0413 A-32161610 Yüksek Tüm 6.0, 6.0.1, 7.0, 7.1.1 13 Ekim 2016
CVE-2017-0414 A-32807795 Yüksek Tüm 6.0, 6.0.1, 7.0, 7.1.1 10 Kasım 2016

Çerçeve API'lerinde bilgilerin açığa çıkması güvenlik açığı

Çerçeve API'lerindeki bilgilerin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın, uygulama verilerini diğer uygulamalardan izole eden işletim sistemi korumalarını atlamasına olanak tanıyabilir. Bu sorun, uygulamanın erişim sahibi olmadığı verilere erişim sağlamak için kullanılabileceğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0421 A-32555637 Yüksek Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google dahili

Biyonik DNS'de hizmet reddi güvenlik açığı

Bionic DNS'deki hizmet reddi güvenlik açığı, uzaktaki bir saldırganın özel hazırlanmış bir ağ paketini kullanarak aygıtın kilitlenmesine veya yeniden başlatılmasına neden olmasına olanak verebilir. Uzaktan hizmet reddi olasılığı nedeniyle bu sorun Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0422 A-32322088 Yüksek Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 Ekim 2016

Bluetooth'ta ayrıcalık yükselmesi güvenlik açığı

Bluetooth'taki bir ayrıcalık yükselmesi güvenlik açığı, yakındaki bir saldırganın cihazdaki belgelere erişimi yönetmesine olanak tanıyabilir. Bu sorun, öncelikle Bluetooth yığınındaki ayrı bir güvenlik açığından yararlanılmasını gerektirdiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0423 A-32612586 Ilıman Tüm 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 Kasım 2016

AOSP Mesajlaşma'da bilginin açığa çıkması güvenlik açığı

AOSP Messaging'deki bilginin açığa çıkması güvenlik açığı, özel hazırlanmış bir dosya kullanan uzaktaki bir saldırganın izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, kullanıcı düzeyinde derinlemesine savunmaya yönelik genel bir atlama olduğundan veya ayrıcalıklı bir süreçte azaltma teknolojisinden yararlanıldığından Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0424 A-32322450 Ilıman Tüm 6.0, 6.0.1, 7.0, 7.1.1 20 Ekim 2016

Audioserver'da bilgilerin açığa çıkması güvenlik açığı

Audioserver'daki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0425 A-32720785 Ilıman Tüm 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 Kasım 2016

Dosya Sisteminde bilginin açığa çıkması güvenlik açığı

Dosya Sistemindeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, hassas verilere izinsiz erişmek için kullanılabildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Güncellenmiş AOSP sürümleri Bildirilme tarihi
CVE-2017-0426 A-32799236 [ 2 ] Ilıman Tüm 7.0, 7.1.1 Google dahili

2017-02-05 güvenlik yaması düzeyi—Güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 2017-02-05 yama düzeyi için geçerli olan güvenlik açıklarının her birine ilişkin ayrıntılar sağlıyoruz. Sorunun bir açıklaması, önem derecesi gerekçesi ve CVE'yi, ilgili referansları, önem derecesini, güncellenmiş Google cihazlarını, güncellenmiş AOSP sürümlerini (varsa) ve raporlanma tarihini içeren bir tablo bulunmaktadır. Mümkün olduğunda, sorunu gideren genel değişikliği, AOSP değişiklik listesi gibi hata kimliğine bağlayacağız. Birden fazla değişiklik tek bir hatayla ilgili olduğunda, ek referanslar hata kimliğini takip eden numaralara bağlanır.

Qualcomm kripto sürücüsünde uzaktan kod yürütme güvenlik açığı

Qualcomm kripto sürücüsündeki bir uzaktan kod yürütme güvenlik açığı, uzaktaki bir saldırganın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, çekirdek bağlamında uzaktan kod yürütme olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8418 A-32652894
QC-CR#1077457
Kritik Hiçbiri* 10 Ekim 2016

* Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0427 A-31495866* Kritik Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL 13 Eylül 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

NVIDIA GPU sürücüsünde ayrıcalık yükselmesi güvenlik açığı

NVIDIA GPU sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0428 A-32401526*
N-CVE-2017-0428
Kritik Nexus 9 25 Ekim 2016
CVE-2017-0429 A-32636619*
N-CVE-2017-0429
Kritik Nexus 9 3 Kasım 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdek ağ alt sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek ağı alt sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2014-9914 A-32882659
Yukarı akış çekirdeği
Kritik Nexus 6, Nexus Oyuncu 9 Kasım 2016

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, aygıtın onarılması için işletim sisteminin yeniden başlatılmasını gerektirebilecek yerel kalıcı aygıt güvenliği ihlali olasılığı nedeniyle Kritik olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0430 A-32838767*
B-RB#107459
Kritik Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Oynatıcı Google dahili

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm bileşenlerindeki güvenlik açıkları

Aşağıdaki güvenlik açığı Qualcomm bileşenlerini etkilemektedir ve Qualcomm AMSS Eylül 2016 güvenlik bülteninde daha ayrıntılı olarak açıklanmaktadır.

CVE Referanslar Şiddet* Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0431 A-32573899** Kritik Hiçbiri*** Qualcomm dahili

* Bu güvenlik açıklarının önem derecesi satıcı tarafından belirlendi.

** Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

*** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

MediaTek sürücüsünde ayrıcalık yükselmesi güvenlik açığı

MediaTek sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0432 A-28332719*
M-ALPS02708925
Yüksek Hiçbiri** 21 Nis 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

** Android 7.0 veya sonraki sürümleri çalıştıran ve mevcut tüm güncellemelerin yüklü olduğu desteklenen Google cihazları bu güvenlik açığından etkilenmez.

Synaptics dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Synaptics dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın dokunmatik ekran yonga seti bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0433 A-31913571* Yüksek Nexus 6P, Nexus 9, Android One, Piksel, Piksel XL 8 Eylül 2016
CVE-2017-0434 A-33001936* Yüksek Piksel, Piksel XL 18 Kasım 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Secure Execution Environment Communicator sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Secure Execution Environment Communicator sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8480 A-31804432
QC-CR#1086186 [ 2 ]
Yüksek Nexus 5X, Nexus 6, Nexus 6P, Android One, Piksel, Piksel XL 28 Eylül 2016

Qualcomm ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8481 A-31906415*
QC-CR#1078000
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 1 Ekim 2016
CVE-2017-0435 A-31906657*
QC-CR#1078000
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 1 Ekim 2016
CVE-2017-0436 A-32624661*
QC-CR#1078000
Yüksek Nexus 5X, Nexus 6P, Piksel, Piksel XL 2 Kasım 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Qualcomm Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0437 A-32402310
QC-CR#1092497
Yüksek Nexus 5X, Piksel, Piksel XL 25 Ekim 2016
CVE-2017-0438 A-32402604
QC-CR#1092497
Yüksek Nexus 5X, Piksel, Piksel XL 25 Ekim 2016
CVE-2017-0439 A-32450647
QC-CR#1092059
Yüksek Nexus 5X, Piksel, Piksel XL 25 Ekim 2016
CVE-2016-8419 A-32454494
QC-CR#1087209
Yüksek Nexus 5X, Piksel, Piksel XL 26 Ekim 2016
CVE-2016-8420 A-32451171
QC-CR#1087807
Yüksek Nexus 5X, Piksel, Piksel XL 26 Ekim 2016
CVE-2016-8421 A-32451104
QC-CR#1087797
Yüksek Nexus 5X, Piksel, Piksel XL 26 Ekim 2016
CVE-2017-0440 A-33252788
QC-CR#1095770
Yüksek Nexus 5X, Piksel, Piksel XL 11 Kasım 2016
CVE-2017-0441 A-32872662
QC-CR#1095009
Yüksek Nexus 5X, Piksel, Piksel XL 11 Kasım 2016
CVE-2017-0442 A-32871330
QC-CR#1092497
Yüksek Nexus 5X, Piksel, Piksel XL 13 Kasım 2016
CVE-2017-0443 A-32877494
QC-CR#1092497
Yüksek Nexus 5X, Piksel, Piksel XL 13 Kasım 2016
CVE-2016-8476 A-32879283
QC-CR#1091940
Yüksek Nexus 5X, Piksel, Piksel XL 14 Kasım 2016

Realtek ses sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Realtek ses sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0444 A-32705232* Yüksek Nexus 9 7 Kasım 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

HTC dokunmatik ekran sürücüsünde ayrıcalık yükselmesi güvenlik açığı

HTC dokunmatik ekran sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0445 A-32769717* Yüksek Piksel, Piksel XL 9 Kasım 2016
CVE-2017-0446 A-32917445* Yüksek Piksel, Piksel XL 15 Kasım 2016
CVE-2017-0447 A-32919560* Yüksek Piksel, Piksel XL 15 Kasım 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

NVIDIA video sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

NVIDIA video sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, açık kullanıcı izni olmadan hassas verilere erişmek için kullanılabildiğinden Yüksek olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0448 A-32721029*
N-CVE-2017-0448
Yüksek Nexus 9 7 Kasım 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Broadcom Wi-Fi sürücüsünde ayrıcalık yükselmesi güvenlik açığı

Broadcom Wi-Fi sürücüsündeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın çekirdek bağlamında rastgele kod yürütmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden ve mevcut platform yapılandırmaları tarafından hafifletildiğinden Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0449 A-31707909*
B-RB#32094
Ilıman Nexus 6, Nexus 6P 23 Eylül 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Audioserver'da ayrıcalık yükselmesi güvenlik açığı

Audioserver'daki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı bir uygulamanın ayrıcalıklı bir işlem bağlamında rastgele kod yürütmesine olanak verebilir. Bu sorun, mevcut platform yapılandırmaları tarafından hafifletildiği için Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0450 A-32917432* Ilıman Nexus 9 15 Kasım 2016

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Çekirdek dosya sisteminde ayrıcalık yükselmesi güvenlik açığı

Çekirdek dosya sistemindeki bir ayrıcalık yükselmesi güvenlik açığı, yerel kötü amaçlı uygulamanın ayrıcalıkların artmasını önleyen korumaları atlamasına olanak tanıyabilir. Bu sorun, kullanıcı düzeyinde derinlemesine savunma veya kötüye kullanım azaltma teknolojisi için genel bir atlama olduğundan Orta olarak derecelendirilmiştir.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-10044 A-31711619* Ilıman Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Oynatıcı, Pixel, Pixel XL Google dahili

* Bu soruna ilişkin yama genel kullanıma açık değildir. Güncelleme, Nexus cihazları için Google Geliştirici sitesinden edinilebilen en son ikili program sürücülerinde yer almaktadır.

Qualcomm Güvenli Yürütme Ortamı İletişim Aracı'ndaki bilgilerin açığa çıkması güvenlik açığı

Qualcomm Güvenli Yürütme Ortamı İletişim Aracı'ndaki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın izin düzeyleri dışındaki verilere erişmesine olanak sağlayabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2016-8414 A-31704078
QC-CR#1076407
Ilıman Nexus 5X, Nexus 6P, Android One, Piksel, Piksel XL 23 Eylül 2016

Qualcomm ses sürücüsündeki bilgilerin açığa çıkması güvenlik açığı

Qualcomm ses sürücüsündeki bir bilginin açığa çıkması güvenlik açığı, yerel kötü amaçlı bir uygulamanın kendi izin düzeyleri dışındaki verilere erişmesine olanak tanıyabilir. Bu sorun, öncelikle ayrıcalıklı bir süreçten ödün verilmesini gerektirdiğinden Orta olarak derecelendirildi.

CVE Referanslar Şiddet Google cihazları güncellendi Bildirilme tarihi
CVE-2017-0451 A-31796345
QC-CR#1073129 [ 2 ]
Ilıman Nexus 5X, Nexus 6P, Android One, Piksel, Piksel XL 27 Eylül 2016

Sık Sorulan Sorular ve Cevaplar

Bu bölüm, bu bülteni okuduktan sonra ortaya çıkabilecek genel soruları yanıtlar.

1. Cihazımın bu sorunları çözecek şekilde güncellenip güncellenmediğini nasıl belirleyebilirim?

Bir cihazın güvenlik yaması düzeyinin nasıl kontrol edileceğini öğrenmek için Pixel ve Nexus güncelleme planındaki talimatları okuyun.

  • 2017-02-01 veya sonraki güvenlik yaması düzeyleri, 2017-02-01 güvenlik yaması düzeyiyle ilişkili tüm sorunları giderir.
  • 2017-02-05 veya üzeri güvenlik düzeltme eki düzeyleri, 2017-02-05 güvenlik düzeltme eki düzeyi ve önceki tüm düzeltme eki düzeyleriyle ilişkili tüm sorunları giderir.

Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır:

  • [ro.build.version.security_patch]:[2017-02-01]
  • [ro.build.version.security_patch]:[2017-02-05]

2. Bu bültende neden iki güvenlik yaması düzeyi var?

Bu bültenin iki güvenlik düzeltme eki düzeyi vardır; böylece Android iş ortakları, tüm Android cihazlarda benzer olan bir dizi güvenlik açığını daha hızlı düzeltme esnekliğine sahip olur. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyini kullanmaları önerilir.

  • 1 Şubat 2017 güvenlik yaması düzeyini kullanan cihazlar, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunlara yönelik düzeltmeleri de içermelidir.
  • 5 Şubat 2017 veya daha yeni güvenlik düzeltme eki düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerinde geçerli tüm düzeltme eklerini içermelidir.

İş ortaklarının, ele aldıkları tüm sorunlara yönelik düzeltmeleri tek bir güncellemede toplamaları önerilir.

3. Her sorundan hangi Google cihazlarının etkilendiğini nasıl belirlerim?

01.02.2017 ve 05.02.2017 güvenlik açığı ayrıntıları bölümlerinde, her tabloda, her sorun için güncellenen, etkilenen Google cihazlarının aralığını kapsayan bir Güncellenmiş Google cihazları sütunu bulunur. Bu sütunun birkaç seçeneği vardır:

  • Tüm Google cihazları : Bir sorun Tümü ve Pixel cihazları etkiliyorsa tablonun Güncellenen Google cihazları sütununda "Tümü" ifadesi görünür. "Tümü" şu desteklenen cihazları kapsar: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel ve Pixel XL.
  • Bazı Google cihazları : Bir sorun tüm Google cihazlarını etkilemiyorsa etkilenen Google cihazları Güncellenen Google cihazları sütununda listelenir.
  • Google cihazı yok : Android 7.0 çalıştıran hiçbir Google cihazı bu sorundan etkilenmezse, tablonun Güncellenen Google cihazları sütununda "Yok" ifadesi görünür.

4. Referanslar sütunundaki girişler neyle eşleşiyor?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunu altındaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir. Bu önekler aşağıdaki gibi eşlenir:

Önek Referans
A- Android hata kimliği
Kalite kontrol- Qualcomm referans numarası
M- MediaTek referans numarası
N- NVIDIA referans numarası
B- Broadcom referans numarası

Revizyonlar

  • 06 Şubat 2017: Bülten yayınlandı.
  • 08 Şubat 2017: Bülten, AOSP bağlantılarını içerecek şekilde revize edildi.