नेक्सस सुरक्षा बुलेटिन - नवंबर 2015

02 नवंबर 2015 को प्रकाशित

हमने अपनी एंड्रॉइड सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के हिस्से के रूप में ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। LMY48X या उसके बाद का संस्करण और 1 नवंबर, 2015 या उसके बाद के सुरक्षा पैच स्तर के साथ Android मार्शमैलो इन समस्याओं का समाधान करता है। अधिक जानकारी के लिए सामान्य प्रश्न और उत्तर अनुभाग देखें।

साझेदारों को इन मुद्दों के बारे में 5 अक्टूबर 2015 या उससे पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच अगले 48 घंटों में एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए जाएंगे। जब AOSP लिंक उपलब्ध होंगे तो हम इस बुलेटिन को AOSP लिंक के साथ संशोधित करेंगे।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Verify Apps और SafetyNet के साथ दुरुपयोग की सक्रिय रूप से निगरानी कर रही है जो इंस्टॉल होने वाले संभावित हानिकारक एप्लिकेशन के बारे में चेतावनी देगी। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, Verify Apps डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित ऐप्स विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की स्थापना को पहचानने और अवरुद्ध करने का प्रयास करता है। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं तक नहीं पहुंचाते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला, Google Chrome सुरक्षा टीम: CVE-2015-6608
  • डेनियल मिके (daniel.micay@copperhead.co) कॉपरहेड सुरक्षा पर: CVE-2015-6609
  • सिस्टम सिक्योरिटी लैब, केएआईएसटी के डोंगक्वान किम (dkay@kaist.ac.kr): CVE-2015-6614
  • सिस्टम सिक्योरिटी लैब, KAIST के होंगिल किम (hongilk@kaist.ac.kr): CVE-2015-6614
  • ट्रेंड माइक्रो के जैक टैंग (@jacktang310): CVE-2015-6611
  • ट्रेंड माइक्रो के पीटर पाई: CVE-2015-6611
  • Google प्रोजेक्ट ज़ीरो की नताली सिल्वानोविच: CVE-2015-6608
  • कीडन टीम (@K33nTeam, http://k33nteam.org/) से क़िदान हे (@flanker_hqd) और वेन जू (@antlr7): CVE-2015-6612
  • Qihoo 360 टेक्नोलॉजी CC o.Ltd के गुआंग गोंग (龚广) ( @oldfresher , higongguang@gmail.com) : CVE-2015-6612
  • ट्रेंड माइक्रो के सेवन शेन: सीवीई-2015-6610

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2015-11-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। जहां उपलब्ध है, हमने एओएसपी परिवर्तन को लिंक किया है जिसने समस्या को बग आईडी से संबोधित किया है। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियासर्वर में रिमोट कोड निष्पादन कमजोरियाँ

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता प्रभावित संस्करण दिनांक सूचित किया गया
सीवीई-2015-6608 एंड्रॉइड-19779574 गंभीर 5.0, 5.1, 6.0 गूगल आंतरिक
एंड्रॉइड-23680780
एंड्रॉइड-23876444
एंड्रॉइड-23881715 गंभीर 4.4, 5.0, 5.1, 6.0 गूगल आंतरिक
एंड्रॉइड-14388161 गंभीर 4.4 और 5.1 गूगल आंतरिक
एंड्रॉइड-23658148 गंभीर 5.0, 5.1, 6.0 गूगल आंतरिक

लिबुटिल्स में रिमोट कोड निष्पादन भेद्यता

ऑडियो फ़ाइल प्रोसेसिंग के दौरान एक सामान्य लाइब्रेरी, लिबुटिल्स में भेद्यता का फायदा उठाया जा सकता है। यह भेद्यता एक हमलावर को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती है।

प्रभावित कार्यक्षमता एक एपीआई के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं। विशेषाधिकार प्राप्त सेवा में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के मुद्दे के रूप में मूल्यांकित किया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता प्रभावित संस्करण दिनांक सूचित किया गया
सीवीई-2015-6609 एंड्रॉइड-22953624 [ 2 ] गंभीर 6.0 और नीचे 3 अगस्त 2015

मीडियासर्वर में सूचना प्रकटीकरण कमजोरियाँ

मीडियासर्वर में सूचना प्रकटीकरण कमजोरियाँ हैं जो प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता प्रभावित संस्करण दिनांक सूचित किया गया
सीवीई-2015-6611 एंड्रॉइड-23905951 [ 2 ] [ 3 ] उच्च 6.0 और नीचे सितम्बर 07, 2015
एंड्रॉइड-23912202*
एंड्रॉइड-23953967*
एंड्रॉइड-23696300 उच्च 6.0 और नीचे 31 अगस्त 2015
एंड्रॉइड-23600291 उच्च 6.0 और नीचे 26 अगस्त 2015
एंड्रॉइड-23756261 [ 2 ] उच्च 6.0 और नीचे 26 अगस्त 2015
एंड्रॉइड-23540907 [ 2 ] उच्च 5.1 और नीचे 25 अगस्त 2015
एंड्रॉइड-23541506 उच्च 6.0 और नीचे 25 अगस्त 2015
एंड्रॉइड-23284974*
एंड्रॉइड-23542351*
एंड्रॉइड-23542352*
एंड्रॉइड-23515142 उच्च 5.1 और नीचे 19 अगस्त 2015

* इस बग का पैच अन्य उपलब्ध AOSP लिंक में शामिल है।

libstagefright में विशेषाधिकार भेद्यता का उन्नयन

लिबस्टेजफ्राइट में विशेषाधिकार भेद्यता में वृद्धि हुई है जो मीडियासर्वर सेवा के संदर्भ में स्मृति भ्रष्टाचार और मनमाने ढंग से कोड निष्पादन का कारण बनने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। हालाँकि इस मुद्दे को आम तौर पर गंभीर दर्जा दिया जाएगा, हमने इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया है क्योंकि इसकी कम संभावना है कि इसका दूर से फायदा उठाया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता प्रभावित संस्करण दिनांक सूचित किया गया
सीवीई-2015-6610 एंड्रॉइड-23707088 [ 2 ] उच्च 6.0 और नीचे 19 अगस्त 2015

लिबमीडिया में विशेषाधिकार भेद्यता का उन्नयन

लिबमीडिया में एक भेद्यता है जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। इस समस्या को उच्च गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग उन विशेषाधिकारों तक पहुंचने के लिए किया जा सकता है जो किसी तीसरे पक्ष के एप्लिकेशन के लिए सीधे पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता प्रभावित संस्करण दिनांक सूचित किया गया
सीवीई-2015-6612 एंड्रॉइड-23540426 उच्च 6.0 और नीचे 23 अगस्त 2015

ब्लूटूथ में विशेषाधिकार भेद्यता का बढ़ना

ब्लूटूथ में एक भेद्यता है जो स्थानीय एप्लिकेशन को डिवाइस पर लिसनिंग डिबग पोर्ट पर कमांड भेजने में सक्षम कर सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता प्रभावित संस्करण दिनांक सूचित किया गया
सीवीई-2015-6613 एंड्रॉइड-24371736 उच्च 6.0 गूगल आंतरिक

टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना

टेलीफोनी घटक में एक भेद्यता जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अनधिकृत डेटा को प्रतिबंधित नेटवर्क इंटरफेस में भेजने में सक्षम कर सकती है, जो संभावित रूप से डेटा शुल्क को प्रभावित कर सकती है। यह डिवाइस को कॉल प्राप्त करने से भी रोक सकता है और साथ ही हमलावर को कॉल की म्यूट सेटिंग्स को नियंत्रित करने की अनुमति भी दे सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित तरीके से " खतरनाक " अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता प्रभावित संस्करण दिनांक सूचित किया गया
सीवीई-2015-6614 एंड्रॉइड-21900139 [ 2 ] [ 3 ] मध्यम 5.0, 5.1 8 जून 2015

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तरों की समीक्षा करेगा जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

LMY48X या उसके बाद का संस्करण और 1 नवंबर, 2015 या उसके बाद के सुरक्षा पैच स्तर के साथ Android मार्शमैलो इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2015-11-01]

संशोधन

  • 02 नवंबर, 2015: मूल रूप से प्रकाशित