Nexus सुरक्षा बुलेटिन - अक्टूबर 2015

05 अक्टूबर 2015 को प्रकाशित | 28 अप्रैल 2016 को अपडेट किया गया

हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। LMY48T या बाद के संस्करण (जैसे LMY48W) और Android M को 1 अक्टूबर, 2015 के सुरक्षा पैच स्तर के साथ बनाता है या बाद में इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें।

भागीदारों को इन मुद्दों के बारे में 10 सितंबर, 2015 या इससे पहले अधिसूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

न्यूनीकरण

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम, Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल होने के बारे में चेतावनी देगा। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
  • जैसा उचित हो, Google ने Hangouts और Messenger एप्लिकेशन को अपडेट कर दिया है ताकि मीडिया स्वचालित रूप से कमजोर प्रक्रियाओं (जैसे मीडियासर्वर) को पास न हो।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • ब्रेनन लॉटनर: सीवीई-2015-3863
  • किहू 360 से C0RE टीम के चियाचिह वू और जुक्सियन जियांग: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
  • Qihoo 360 से C0RE टीम के Yajin Zhou, Lei Wu, और Xuxian Jiang: CVE-2015-3865
  • कॉपरहेड सिक्योरिटी में डेनियल माइके (daniel.micay@copperhead.co): CVE-2015-3875
  • अलीबाबा मोबाइल सुरक्षा टीम का Dragonltx: CVE-2015-6599
  • Google प्रोजेक्ट ज़ीरो के इयान बीयर और स्टीवन विटिटो: CVE-2015-6604
  • जोकिन रिनाडो (@xeroxnir) और इवान एर्स (@4Dgifts) प्रोग्रामा STIC के Fundación में डॉ. मैनुअल सैडोस्की, ब्यूनस आयर्स अर्जेंटीना: CVE-2015-3870
  • Zimperium के जोश ड्रेक: CVE-2015-3876, CVE-2015-6602
  • एक्सोडस इंटेलिजेंस के जॉर्डन ग्रुस्कोवन्जक (@jgrusko): CVE-2015-3867
  • ट्रेंड माइक्रो के पीटर पाई: CVE-2015-3872, CVE-2015-3871
  • Qihoo 360 Technology Co. Ltd के पिंग ली: CVE-2015-3878
  • सेवन शेन: सीवीई-2015-6600, सीवीई-2015-3847
  • Baidu एक्स-टीम के वांगटाओ (नियोबाइट): CVE-2015-6598
  • ट्रेंड माइक्रो इंक. के विश वू (@wish_wu): CVE-2015-3823
  • एप्लाइड साइंसेज विश्वविद्यालय, अपर ऑस्ट्रिया/हैगेनबर्ग में जेआर-सेंटर यू'स्माइल के माइकल रोलैंड: सीवीई-2015-6606

हम इस बुलेटिन में तय की गई कई समस्याओं की रिपोर्ट करने के लिए क्रोम सुरक्षा टीम, Google सुरक्षा टीम, प्रोजेक्ट ज़ीरो और Google के अन्य व्यक्तियों के योगदान को भी स्वीकार करना चाहते हैं।

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2015-10-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। जहां उपलब्ध है, हमने AOSP परिवर्तन को जोड़ा है जिसने समस्या को बग आईडी से संबोधित किया है। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

libstagefright में रिमोट कोड निष्पादन कमजोरियां

libstagefright में कमजोरियां मौजूद हैं जो मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान एक हमलावर को मेमोरी भ्रष्टाचार और मीडियासर्वर सेवा में रिमोट कोड निष्पादन का कारण बन सकती हैं।

एक विशेषाधिकार प्राप्त सेवा के रूप में रिमोट कोड निष्पादन की संभावना के कारण इन मुद्दों को गंभीर गंभीरता के रूप में दर्जा दिया गया है। प्रभावित घटकों के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-3873 Android-20674086 [ 2 , 3 , 4 ] नाजुक 5.1 और नीचे Google आंतरिक
Android-20674674 [ 2 , 3 , 4 ]
एंड्रॉइड-20718524
एंड्रॉइड-21048776
एंड्रॉइड-21443020
एंड्रॉइड-21814993
एंड्रॉइड-22008959
एंड्रॉइड-22077698
एंड्रॉइड-22388975
एंड्रॉइड-22845824
एंड्रॉइड-23016072
एंड्रॉइड-23247055
एंड्रॉइड-23248776
एंड्रॉइड-20721050 नाजुक 5.0 और 5.1 Google आंतरिक
सीवीई-2015-3823 एंड्रॉइड-21335999 नाजुक 5.1 और नीचे मई 20, 2015
सीवीई-2015-6600 एंड्रॉइड-22882938 नाजुक 5.1 और नीचे जुलाई 31, 2015
सीवीई-2015-6601 एंड्रॉइड-22935234 नाजुक 5.1 और नीचे अगस्त 3, 2015
सीवीई-2015-3869 एंड्रॉइड-23036083 नाजुक 5.1 और नीचे अगस्त 4, 2015
सीवीई-2015-3870 एंड्रॉइड-22771132 नाजुक 5.1 और नीचे अगस्त 5, 2015
सीवीई-2015-3871 एंड्रॉइड-23031033 नाजुक 5.1 और नीचे अगस्त 6, 2015
सीवीई-2015-3868 एंड्रॉइड-23270724 नाजुक 5.1 और नीचे अगस्त 6, 2015
सीवीई-2015-6604 एंड्रॉइड-23129786 नाजुक 5.1 और नीचे अगस्त 11, 2015
सीवीई-2015-3867 एंड्रॉइड-23213430 नाजुक 5.1 और नीचे अगस्त 14, 2015
सीवीई-2015-6603 एंड्रॉइड-23227354 नाजुक 5.1 और नीचे अगस्त 15,2015
सीवीई-2015-3876 एंड्रॉइड-23285192 नाजुक 5.1 और नीचे अगस्त 15, 2015
सीवीई-2015-6598 एंड्रॉइड-23306638 नाजुक 5.1 और नीचे अगस्त 18, 2015
सीवीई-2015-3872 एंड्रॉइड-23346388 नाजुक 5.1 और नीचे अगस्त 19, 2015
सीवीई-2015-6599 एंड्रॉइड-23416608 नाजुक 5.1 और नीचे अगस्त 21, 2015

Sonivox . में रिमोट कोड निष्पादन भेद्यताएं

सोनिवॉक्स में भेद्यताएं मौजूद हैं जो एक हमलावर को, विशेष रूप से तैयार की गई फ़ाइल के मीडिया फ़ाइल प्रसंस्करण के दौरान, मेमोरी भ्रष्टाचार और मीडियासर्वर सेवा में रिमोट कोड निष्पादन का कारण बन सकती हैं। एक विशेषाधिकार प्राप्त सेवा के रूप में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-3874 एंड्रॉइड-23335715 नाजुक 5.1 और नीचे विभिन्न
एंड्रॉइड-23307276 [ 2 ]
एंड्रॉइड-23286323

libutils में रिमोट कोड निष्पादन भेद्यता

ऑडियो फाइल प्रोसेसिंग में एक सामान्य पुस्तकालय, libutils में कमजोरियां मौजूद हैं। ये कमजोरियां एक हमलावर को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, स्मृति भ्रष्टाचार और इस पुस्तकालय जैसे मीडियासर्वर का उपयोग करने वाली सेवा में रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता एक एप्लिकेशन एपीआई के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं। विशेषाधिकार प्राप्त सेवा में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है, जिन्हें तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-3875 एंड्रॉइड-22952485 नाजुक 5.1 और नीचे अगस्त 15, 2015
सीवीई-2015-6602 एंड्रॉइड-23290056 [ 2 ] नाजुक 5.1 और नीचे अगस्त 15, 2015

स्की में रिमोट कोड निष्पादन भेद्यता

विशेष रूप से तैयार की गई मीडिया फ़ाइल को संसाधित करते समय स्कीया घटक में एक भेद्यता का लाभ उठाया जा सकता है, जिससे एक विशेषाधिकार प्राप्त प्रक्रिया में स्मृति भ्रष्टाचार और रिमोट कोड निष्पादन हो सकता है। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई हमले विधियों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-3877 एंड्रॉइड-20723696 नाजुक 5.1 और नीचे जुलाई 30, 2015

libFLAC में रिमोट कोड निष्पादन भेद्यताएं

मीडिया फ़ाइल प्रसंस्करण में libFLAC में एक भेद्यता मौजूद है। ये कमजोरियां एक विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान एक हमलावर को स्मृति भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बन सकती हैं।

प्रभावित कार्यक्षमता एक एप्लिकेशन एपीआई के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री के साथ पहुंचने की अनुमति देते हैं, जैसे मीडिया के ब्राउज़र प्लेबैक। विशेषाधिकार प्राप्त सेवा में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है, जिन्हें तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2014-9028 Android-18872897 [ 2 ] नाजुक 5.1 और नीचे 14 नवंबर 2014

KeyStore में विशेषाधिकार भेद्यता का उन्नयन

KeyStore घटक में विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण एप्लिकेशन द्वारा KeyStore APIs में कॉल करते समय लाभ उठाया जा सकता है। यह एप्लिकेशन कीस्टोर के संदर्भ में स्मृति भ्रष्टाचार और मनमाने कोड निष्पादन का कारण बन सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन विशेषाधिकारों तक पहुंचने के लिए किया जा सकता है जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सीधे पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-3863 एंड्रॉइड-22802399 उच्च 5.1 और नीचे जुलाई 28, 2015

मीडिया प्लेयर फ्रेमवर्क में विशेषाधिकार भेद्यता का उन्नयन

मीडिया प्लेयर फ्रेमवर्क घटक में विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति दे सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि यह किसी दुर्भावनापूर्ण एप्लिकेशन को उन विशेषाधिकारों तक पहुंचने की अनुमति देता है जो किसी तृतीय-पक्ष एप्लिकेशन तक पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-3879 एंड्रॉइड-23223325 [2]* उच्च 5.1 और नीचे अगस्त 14, 2015

* इस मुद्दे के लिए दूसरा परिवर्तन AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

Android रनटाइम में विशेषाधिकार भेद्यता का उन्नयन

एंड्रॉइड रनटाइम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-3865 एंड्रॉइड-23050463 [ 2 ] उच्च 5.1 और नीचे अगस्त 8, 2015

Mediaserver में विशेषाधिकार कमजोरियों का उन्नयन

मीडियासर्वर में कई कमजोरियां हैं जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त देशी सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती हैं। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन विशेषाधिकारों तक पहुंचने के लिए किया जा सकता है जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सीधे पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6596 एंड्रॉइड-20731946 उच्च 5.1 और नीचे विभिन्न
एंड्रॉइड-20719651*
एंड्रॉइड-19573085 उच्च 5.0 - 6.0 Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

सुरक्षित तत्व मूल्यांकन किट में विशेषाधिकार भेद्यता का उन्नयन

SEEK (सिक्योर एलिमेंट इवैल्यूएशन किट, उर्फ ​​द स्मार्टकार्ड एपीआई) प्लगइन में एक भेद्यता किसी एप्लिकेशन को अनुरोध किए बिना उन्नत अनुमतियां प्राप्त करने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6606 एंड्रॉइड-22301786* उच्च 5.1 और नीचे जून 30, 2015

* अपग्रेड जो इस समस्या का समाधान करता है वह SEEK for Android साइट पर स्थित है।

मीडिया प्रोजेक्शन में विशेषाधिकार भेद्यता का उन्नयन

मीडिया प्रोजेक्शन घटक में एक भेद्यता उपयोगकर्ता डेटा को स्क्रीन स्नैपशॉट के रूप में प्रकट करने की अनुमति दे सकती है। समस्या ऑपरेटिंग सिस्टम का एक परिणाम है जो अत्यधिक लंबे एप्लिकेशन नामों की अनुमति देता है। स्थानीय दुर्भावनापूर्ण एप्लिकेशन द्वारा इन लंबे नामों का उपयोग स्क्रीन रिकॉर्डिंग के बारे में चेतावनी को उपयोगकर्ता द्वारा दिखाई देने से रोक सकता है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग अनुचित रूप से उन्नत अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-3878 एंड्रॉइड-23345192 संतुलित 5.0 - 6.0 अगस्त 18, 2015

ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन

एंड्रॉइड के ब्लूटूथ घटक में एक भेद्यता एक एप्लिकेशन को संग्रहीत एसएमएस संदेशों को हटाने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग अनुचित रूप से उन्नत अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-3847 एंड्रॉइड-22343270 संतुलित 5.1 और नीचे जुलाई 8, 2015

SQLite में विशेषाधिकार भेद्यता का उन्नयन

SQLite पार्सिंग इंजन में कई कमजोरियों की खोज की गई थी। इन कमजोरियों का एक स्थानीय एप्लिकेशन द्वारा शोषण किया जा सकता है जो किसी अन्य एप्लिकेशन या सेवा को मनमाने ढंग से SQL क्वेरी निष्पादित करने का कारण बन सकता है। सफल शोषण के परिणामस्वरूप लक्ष्य आवेदन के संदर्भ में मनमाने ढंग से कोड निष्पादन हो सकता है।

8 अप्रैल, 2015 को एओएसपी मास्टर पर एक सुधार अपलोड किया गया था, जिसमें SQLite संस्करण को 3.8.9 में अपग्रेड किया गया था: https://android-review.googlesource.com/#/c/145961/

इस बुलेटिन में Android 4.4 (SQLite 3.7.11) और Android 5.0 और 5.1 (SQLite 3.8.6) में SQLite संस्करणों के लिए पैच शामिल हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6607 एंड्रॉइड-20099586 संतुलित 5.1 और नीचे 7 अप्रैल 2015
सार्वजनिक रूप से जाना जाता है

Mediaserver में सेवा कमजोरियों से इनकार

मीडियासर्वर में कई कमजोरियां हैं जो मीडियासर्वर प्रक्रिया को क्रैश करके सेवा से इनकार कर सकती हैं। इन मुद्दों को कम गंभीरता के रूप में रेट किया गया है क्योंकि मीडिया सर्वर के क्रैश होने से प्रभाव का अनुभव होता है जिसके परिणामस्वरूप स्थानीय अस्थायी रूप से सेवा से इनकार किया जाता है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6605 एंड्रॉइड-20915134 कम 5.1 और नीचे Google आंतरिक
एंड्रॉइड-23142203
एंड्रॉइड-22278703 कम 5.0 - 6.0 Google आंतरिक
सीवीई-2015-3862 एंड्रॉइड-22954006 कम 5.1 और नीचे अगस्त 2, 2015

संशोधन

  • 05 अक्टूबर 2015: बुलेटिन प्रकाशित हुआ।
  • 07 अक्टूबर, 2015: बुलेटिन को एओएसपी संदर्भों के साथ अद्यतन किया गया। CVE-2014-9028 के लिए बग संदर्भों को स्पष्ट किया।
  • 12 अक्टूबर, 2015: सीवीई-2015-3868, सीवीई-2015-3869, सीवीई-2015-3865, सीवीई-2015-3862 के लिए अद्यतन पावती।
  • 22 जनवरी 2016: सीवीई-2015-6606 के लिए अद्यतन पावती।
  • 28 अप्रैल 2016: सीवीई-2015-6603 जोड़ा गया और सीवीई-2014-9028 के साथ टाइपो को ठीक किया गया।