05 अक्टूबर 2015 को प्रकाशित | 28 अप्रैल 2016 को अपडेट किया गया
हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। LMY48T या बाद के संस्करण (जैसे LMY48W) और Android M को 1 अक्टूबर, 2015 के सुरक्षा पैच स्तर के साथ बनाता है या बाद में इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें।
भागीदारों को इन मुद्दों के बारे में 10 सितंबर, 2015 या इससे पहले अधिसूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।
इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
न्यूनीकरण
यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम, Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल होने के बारे में चेतावनी देगा। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
- जैसा उचित हो, Google ने Hangouts और Messenger एप्लिकेशन को अपडेट कर दिया है ताकि मीडिया स्वचालित रूप से कमजोर प्रक्रियाओं (जैसे मीडियासर्वर) को पास न हो।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- ब्रेनन लॉटनर: सीवीई-2015-3863
- किहू 360 से C0RE टीम के चियाचिह वू और जुक्सियन जियांग: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Qihoo 360 से C0RE टीम के Yajin Zhou, Lei Wu, और Xuxian Jiang: CVE-2015-3865
- कॉपरहेड सिक्योरिटी में डेनियल माइके (daniel.micay@copperhead.co): CVE-2015-3875
- अलीबाबा मोबाइल सुरक्षा टीम का Dragonltx: CVE-2015-6599
- Google प्रोजेक्ट ज़ीरो के इयान बीयर और स्टीवन विटिटो: CVE-2015-6604
- जोकिन रिनाडो (@xeroxnir) और इवान एर्स (@4Dgifts) प्रोग्रामा STIC के Fundación में डॉ. मैनुअल सैडोस्की, ब्यूनस आयर्स अर्जेंटीना: CVE-2015-3870
- Zimperium के जोश ड्रेक: CVE-2015-3876, CVE-2015-6602
- एक्सोडस इंटेलिजेंस के जॉर्डन ग्रुस्कोवन्जक (@jgrusko): CVE-2015-3867
- ट्रेंड माइक्रो के पीटर पाई: CVE-2015-3872, CVE-2015-3871
- Qihoo 360 Technology Co. Ltd के पिंग ली: CVE-2015-3878
- सेवन शेन: सीवीई-2015-6600, सीवीई-2015-3847
- Baidu एक्स-टीम के वांगटाओ (नियोबाइट): CVE-2015-6598
- ट्रेंड माइक्रो इंक. के विश वू (@wish_wu): CVE-2015-3823
- एप्लाइड साइंसेज विश्वविद्यालय, अपर ऑस्ट्रिया/हैगेनबर्ग में जेआर-सेंटर यू'स्माइल के माइकल रोलैंड: सीवीई-2015-6606
हम इस बुलेटिन में तय की गई कई समस्याओं की रिपोर्ट करने के लिए क्रोम सुरक्षा टीम, Google सुरक्षा टीम, प्रोजेक्ट ज़ीरो और Google के अन्य व्यक्तियों के योगदान को भी स्वीकार करना चाहते हैं।
सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2015-10-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। जहां उपलब्ध है, हमने AOSP परिवर्तन को जोड़ा है जिसने समस्या को बग आईडी से संबोधित किया है। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
libstagefright में रिमोट कोड निष्पादन कमजोरियां
libstagefright में कमजोरियां मौजूद हैं जो मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान एक हमलावर को मेमोरी भ्रष्टाचार और मीडियासर्वर सेवा में रिमोट कोड निष्पादन का कारण बन सकती हैं।
एक विशेषाधिकार प्राप्त सेवा के रूप में रिमोट कोड निष्पादन की संभावना के कारण इन मुद्दों को गंभीर गंभीरता के रूप में दर्जा दिया गया है। प्रभावित घटकों के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-3873 | Android-20674086 [ 2 , 3 , 4 ] | नाजुक | 5.1 और नीचे | Google आंतरिक |
| Android-20674674 [ 2 , 3 , 4 ] | ||||
| एंड्रॉइड-20718524 | ||||
| एंड्रॉइड-21048776 | ||||
| एंड्रॉइड-21443020 | ||||
| एंड्रॉइड-21814993 | ||||
| एंड्रॉइड-22008959 | ||||
| एंड्रॉइड-22077698 | ||||
| एंड्रॉइड-22388975 | ||||
| एंड्रॉइड-22845824 | ||||
| एंड्रॉइड-23016072 | ||||
| एंड्रॉइड-23247055 | ||||
| एंड्रॉइड-23248776 | ||||
| एंड्रॉइड-20721050 | नाजुक | 5.0 और 5.1 | Google आंतरिक | |
| सीवीई-2015-3823 | एंड्रॉइड-21335999 | नाजुक | 5.1 और नीचे | मई 20, 2015 |
| सीवीई-2015-6600 | एंड्रॉइड-22882938 | नाजुक | 5.1 और नीचे | जुलाई 31, 2015 |
| सीवीई-2015-6601 | एंड्रॉइड-22935234 | नाजुक | 5.1 और नीचे | अगस्त 3, 2015 |
| सीवीई-2015-3869 | एंड्रॉइड-23036083 | नाजुक | 5.1 और नीचे | अगस्त 4, 2015 |
| सीवीई-2015-3870 | एंड्रॉइड-22771132 | नाजुक | 5.1 और नीचे | अगस्त 5, 2015 |
| सीवीई-2015-3871 | एंड्रॉइड-23031033 | नाजुक | 5.1 और नीचे | अगस्त 6, 2015 |
| सीवीई-2015-3868 | एंड्रॉइड-23270724 | नाजुक | 5.1 और नीचे | अगस्त 6, 2015 |
| सीवीई-2015-6604 | एंड्रॉइड-23129786 | नाजुक | 5.1 और नीचे | अगस्त 11, 2015 |
| सीवीई-2015-3867 | एंड्रॉइड-23213430 | नाजुक | 5.1 और नीचे | अगस्त 14, 2015 |
| सीवीई-2015-6603 | एंड्रॉइड-23227354 | नाजुक | 5.1 और नीचे | अगस्त 15,2015 |
| सीवीई-2015-3876 | एंड्रॉइड-23285192 | नाजुक | 5.1 और नीचे | अगस्त 15, 2015 |
| सीवीई-2015-6598 | एंड्रॉइड-23306638 | नाजुक | 5.1 और नीचे | अगस्त 18, 2015 |
| सीवीई-2015-3872 | एंड्रॉइड-23346388 | नाजुक | 5.1 और नीचे | अगस्त 19, 2015 |
| सीवीई-2015-6599 | एंड्रॉइड-23416608 | नाजुक | 5.1 और नीचे | अगस्त 21, 2015 |
Sonivox . में रिमोट कोड निष्पादन भेद्यताएं
सोनिवॉक्स में भेद्यताएं मौजूद हैं जो एक हमलावर को, विशेष रूप से तैयार की गई फ़ाइल के मीडिया फ़ाइल प्रसंस्करण के दौरान, मेमोरी भ्रष्टाचार और मीडियासर्वर सेवा में रिमोट कोड निष्पादन का कारण बन सकती हैं। एक विशेषाधिकार प्राप्त सेवा के रूप में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-3874 | एंड्रॉइड-23335715 | नाजुक | 5.1 और नीचे | विभिन्न |
| एंड्रॉइड-23307276 [ 2 ] | ||||
| एंड्रॉइड-23286323 |
libutils में रिमोट कोड निष्पादन भेद्यता
ऑडियो फाइल प्रोसेसिंग में एक सामान्य पुस्तकालय, libutils में कमजोरियां मौजूद हैं। ये कमजोरियां एक हमलावर को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, स्मृति भ्रष्टाचार और इस पुस्तकालय जैसे मीडियासर्वर का उपयोग करने वाली सेवा में रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।
प्रभावित कार्यक्षमता एक एप्लिकेशन एपीआई के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं। विशेषाधिकार प्राप्त सेवा में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है, जिन्हें तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-3875 | एंड्रॉइड-22952485 | नाजुक | 5.1 और नीचे | अगस्त 15, 2015 |
| सीवीई-2015-6602 | एंड्रॉइड-23290056 [ 2 ] | नाजुक | 5.1 और नीचे | अगस्त 15, 2015 |
स्की में रिमोट कोड निष्पादन भेद्यता
विशेष रूप से तैयार की गई मीडिया फ़ाइल को संसाधित करते समय स्कीया घटक में एक भेद्यता का लाभ उठाया जा सकता है, जिससे एक विशेषाधिकार प्राप्त प्रक्रिया में स्मृति भ्रष्टाचार और रिमोट कोड निष्पादन हो सकता है। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई हमले विधियों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-3877 | एंड्रॉइड-20723696 | नाजुक | 5.1 और नीचे | जुलाई 30, 2015 |
libFLAC में रिमोट कोड निष्पादन भेद्यताएं
मीडिया फ़ाइल प्रसंस्करण में libFLAC में एक भेद्यता मौजूद है। ये कमजोरियां एक विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान एक हमलावर को स्मृति भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बन सकती हैं।
प्रभावित कार्यक्षमता एक एप्लिकेशन एपीआई के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री के साथ पहुंचने की अनुमति देते हैं, जैसे मीडिया के ब्राउज़र प्लेबैक। विशेषाधिकार प्राप्त सेवा में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है, जिन्हें तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2014-9028 | Android-18872897 [ 2 ] | नाजुक | 5.1 और नीचे | 14 नवंबर 2014 |
KeyStore में विशेषाधिकार भेद्यता का उन्नयन
KeyStore घटक में विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण एप्लिकेशन द्वारा KeyStore APIs में कॉल करते समय लाभ उठाया जा सकता है। यह एप्लिकेशन कीस्टोर के संदर्भ में स्मृति भ्रष्टाचार और मनमाने कोड निष्पादन का कारण बन सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन विशेषाधिकारों तक पहुंचने के लिए किया जा सकता है जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सीधे पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-3863 | एंड्रॉइड-22802399 | उच्च | 5.1 और नीचे | जुलाई 28, 2015 |
मीडिया प्लेयर फ्रेमवर्क में विशेषाधिकार भेद्यता का उन्नयन
मीडिया प्लेयर फ्रेमवर्क घटक में विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति दे सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि यह किसी दुर्भावनापूर्ण एप्लिकेशन को उन विशेषाधिकारों तक पहुंचने की अनुमति देता है जो किसी तृतीय-पक्ष एप्लिकेशन तक पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-3879 | एंड्रॉइड-23223325 [2]* | उच्च | 5.1 और नीचे | अगस्त 14, 2015 |
* इस मुद्दे के लिए दूसरा परिवर्तन AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
Android रनटाइम में विशेषाधिकार भेद्यता का उन्नयन
एंड्रॉइड रनटाइम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-3865 | एंड्रॉइड-23050463 [ 2 ] | उच्च | 5.1 और नीचे | अगस्त 8, 2015 |
Mediaserver में विशेषाधिकार कमजोरियों का उन्नयन
मीडियासर्वर में कई कमजोरियां हैं जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त देशी सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती हैं। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन विशेषाधिकारों तक पहुंचने के लिए किया जा सकता है जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सीधे पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6596 | एंड्रॉइड-20731946 | उच्च | 5.1 और नीचे | विभिन्न |
| एंड्रॉइड-20719651* | ||||
| एंड्रॉइड-19573085 | उच्च | 5.0 - 6.0 | Google आंतरिक |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
सुरक्षित तत्व मूल्यांकन किट में विशेषाधिकार भेद्यता का उन्नयन
SEEK (सिक्योर एलिमेंट इवैल्यूएशन किट, उर्फ द स्मार्टकार्ड एपीआई) प्लगइन में एक भेद्यता किसी एप्लिकेशन को अनुरोध किए बिना उन्नत अनुमतियां प्राप्त करने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6606 | एंड्रॉइड-22301786* | उच्च | 5.1 और नीचे | जून 30, 2015 |
* अपग्रेड जो इस समस्या का समाधान करता है वह SEEK for Android साइट पर स्थित है।
मीडिया प्रोजेक्शन में विशेषाधिकार भेद्यता का उन्नयन
मीडिया प्रोजेक्शन घटक में एक भेद्यता उपयोगकर्ता डेटा को स्क्रीन स्नैपशॉट के रूप में प्रकट करने की अनुमति दे सकती है। समस्या ऑपरेटिंग सिस्टम का एक परिणाम है जो अत्यधिक लंबे एप्लिकेशन नामों की अनुमति देता है। स्थानीय दुर्भावनापूर्ण एप्लिकेशन द्वारा इन लंबे नामों का उपयोग स्क्रीन रिकॉर्डिंग के बारे में चेतावनी को उपयोगकर्ता द्वारा दिखाई देने से रोक सकता है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग अनुचित रूप से उन्नत अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-3878 | एंड्रॉइड-23345192 | संतुलित | 5.0 - 6.0 | अगस्त 18, 2015 |
ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन
एंड्रॉइड के ब्लूटूथ घटक में एक भेद्यता एक एप्लिकेशन को संग्रहीत एसएमएस संदेशों को हटाने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग अनुचित रूप से उन्नत अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-3847 | एंड्रॉइड-22343270 | संतुलित | 5.1 और नीचे | जुलाई 8, 2015 |
SQLite में विशेषाधिकार भेद्यता का उन्नयन
SQLite पार्सिंग इंजन में कई कमजोरियों की खोज की गई थी। इन कमजोरियों का एक स्थानीय एप्लिकेशन द्वारा शोषण किया जा सकता है जो किसी अन्य एप्लिकेशन या सेवा को मनमाने ढंग से SQL क्वेरी निष्पादित करने का कारण बन सकता है। सफल शोषण के परिणामस्वरूप लक्ष्य आवेदन के संदर्भ में मनमाने ढंग से कोड निष्पादन हो सकता है।
8 अप्रैल, 2015 को एओएसपी मास्टर पर एक सुधार अपलोड किया गया था, जिसमें SQLite संस्करण को 3.8.9 में अपग्रेड किया गया था: https://android-review.googlesource.com/#/c/145961/
इस बुलेटिन में Android 4.4 (SQLite 3.7.11) और Android 5.0 और 5.1 (SQLite 3.8.6) में SQLite संस्करणों के लिए पैच शामिल हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6607 | एंड्रॉइड-20099586 | संतुलित | 5.1 और नीचे | 7 अप्रैल 2015 सार्वजनिक रूप से जाना जाता है |
Mediaserver में सेवा कमजोरियों से इनकार
मीडियासर्वर में कई कमजोरियां हैं जो मीडियासर्वर प्रक्रिया को क्रैश करके सेवा से इनकार कर सकती हैं। इन मुद्दों को कम गंभीरता के रूप में रेट किया गया है क्योंकि मीडिया सर्वर के क्रैश होने से प्रभाव का अनुभव होता है जिसके परिणामस्वरूप स्थानीय अस्थायी रूप से सेवा से इनकार किया जाता है।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | प्रभावित संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6605 | एंड्रॉइड-20915134 | कम | 5.1 और नीचे | Google आंतरिक |
| एंड्रॉइड-23142203 | ||||
| एंड्रॉइड-22278703 | कम | 5.0 - 6.0 | Google आंतरिक | |
| सीवीई-2015-3862 | एंड्रॉइड-22954006 | कम | 5.1 और नीचे | अगस्त 2, 2015 |
संशोधन
- 05 अक्टूबर 2015: बुलेटिन प्रकाशित हुआ।
- 07 अक्टूबर, 2015: बुलेटिन को एओएसपी संदर्भों के साथ अद्यतन किया गया। CVE-2014-9028 के लिए बग संदर्भों को स्पष्ट किया।
- 12 अक्टूबर, 2015: सीवीई-2015-3868, सीवीई-2015-3869, सीवीई-2015-3865, सीवीई-2015-3862 के लिए अद्यतन पावती।
- 22 जनवरी 2016: सीवीई-2015-6606 के लिए अद्यतन पावती।
- 28 अप्रैल 2016: सीवीई-2015-6603 जोड़ा गया और सीवीई-2014-9028 के साथ टाइपो को ठीक किया गया।