Nexus सुरक्षा बुलेटिन - नवंबर 2015

संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

02 नवंबर 2015 को प्रकाशित

हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 1 नवंबर, 2015 के सुरक्षा पैच स्तर के साथ LMY48X या बाद के संस्करण और Android मार्शमैलो बनाता है या बाद में इन समस्याओं का समाधान करता है। अधिक विवरण के लिए सामान्य प्रश्न और उत्तर अनुभाग देखें।

भागीदारों को इन मुद्दों के बारे में 5 अक्टूबर, 2015 या इससे पहले अधिसूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच अगले 48 घंटों में Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी में जारी किए जाएंगे। हम इस बुलेटिन को AOSP लिंक के साथ उपलब्ध होने पर संशोधित करेंगे।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

न्यूनीकरण

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम, Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल होने के बारे में चेतावनी देगा। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला, Google Chrome सुरक्षा टीम: CVE-2015-6608
  • कॉपरहेड सिक्योरिटी में डेनियल माइके (daniel.micay@copperhead.co): CVE-2015-6609
  • सिस्टम सिक्योरिटी लैब के डोंगक्वान किम, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
  • सिस्टम सिक्योरिटी लैब के होंगिल किम, KAIST (hongilk@kaist.ac.kr): सीवीई-2015-6614
  • ट्रेंड माइक्रो के जैक टैंग (@ jacktang310): CVE-2015-6611
  • ट्रेंड माइक्रो के पीटर पाई: सीवीई-2015-6611
  • Google प्रोजेक्ट ज़ीरो की नताली सिल्वानोविच: CVE-2015-6608
  • किडन हे (@flanker_hqd) और वेन जू (@antlr7) KeenTeam (@K33nTeam, http://k33nteam.org/) से: CVE-2015-6612
  • गुआंग गोंग (龚广) ( @oldfresher , higongguang@gmail.com) Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
  • ट्रेंड माइक्रो के सेवन शेन: सीवीई-2015-6610

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2015-11-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। जहां उपलब्ध है, हमने AOSP परिवर्तन को जोड़ा है जिसने समस्या को बग आईडी से संबोधित किया है। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6608 एंड्रॉइड-19779574 नाजुक 5.0, 5.1, 6.0 Google आंतरिक
एंड्रॉइड-23680780
एंड्रॉइड-23876444
एंड्रॉइड-23881715 नाजुक 4.4, 5.0, 5.1, 6.0 Google आंतरिक
एंड्रॉइड-14388161 नाजुक 4.4 और 5.1 Google आंतरिक
एंड्रॉइड-23658148 नाजुक 5.0, 5.1, 6.0 Google आंतरिक

libutils में रिमोट कोड निष्पादन भेद्यता

ऑडियो फ़ाइल प्रसंस्करण के दौरान libutils, एक सामान्य पुस्तकालय में एक भेद्यता का फायदा उठाया जा सकता है। यह भेद्यता एक हमलावर को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, स्मृति भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती है।

प्रभावित कार्यक्षमता एक एपीआई के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं। एक विशेषाधिकार प्राप्त सेवा में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को एक गंभीर गंभीरता समस्या के रूप में रेट किया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है, जिन्हें तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6609 एंड्रॉइड-22953624 [ 2 ] नाजुक 6.0 और नीचे अगस्त 3, 2015

Mediaserver में सूचना प्रकटीकरण कमजोरियां

मीडियासर्वर में सूचना प्रकटीकरण कमजोरियां हैं जो मंच का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6611 एंड्रॉइड-23905951 [ 2 ] [ 3 ] उच्च 6.0 और नीचे सितम्बर 07, 2015
एंड्रॉइड-23912202*
एंड्रॉइड-23953967*
एंड्रॉइड-23696300 उच्च 6.0 और नीचे अगस्त 31, 2015
एंड्रॉइड-23600291 उच्च 6.0 और नीचे अगस्त 26, 2015
एंड्रॉइड-23756261 [ 2 ] उच्च 6.0 और नीचे अगस्त 26, 2015
एंड्रॉइड-23540907 [ 2 ] उच्च 5.1 और नीचे अगस्त 25, 2015
एंड्रॉइड-23541506 उच्च 6.0 और नीचे अगस्त 25, 2015
एंड्रॉइड-23284974*
एंड्रॉइड-23542351*
एंड्रॉइड-23542352*
एंड्रॉइड-23515142 उच्च 5.1 और नीचे अगस्त 19, 2015

* इस बग के लिए पैच अन्य प्रदान किए गए AOSP लिंक में शामिल है।

libstagefright में विशेषाधिकार भेद्यता का उन्नयन

libstagefright में विशेषाधिकार भेद्यता का एक उन्नयन है जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को स्मृति भ्रष्टाचार और मध्यस्थ सेवा के संदर्भ में मनमाने ढंग से कोड निष्पादन के कारण सक्षम कर सकता है। हालांकि इस मुद्दे को सामान्य रूप से गंभीर दर्जा दिया जाएगा, हमने इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया है क्योंकि कम संभावना है कि इसका दूर से शोषण किया जा सकता है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6610 एंड्रॉइड-23707088 [ 2 ] उच्च 6.0 और नीचे अगस्त 19, 2015

libmedia में विशेषाधिकार भेद्यता का उन्नयन

लिबमेडिया में एक भेद्यता है जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर सेवा के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन विशेषाधिकारों तक पहुंचने के लिए किया जा सकता है जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सीधे पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6612 एंड्रॉइड-23540426 उच्च 6.0 और नीचे अगस्त 23, 2015

ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन

ब्लूटूथ में एक भेद्यता है जो एक स्थानीय एप्लिकेशन को डिवाइस पर सुनने वाले डिबग पोर्ट पर कमांड भेजने में सक्षम कर सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6613 एंड्रॉइड-24371736 उच्च 6.0 Google आंतरिक

टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन

टेलीफोनी घटक में एक भेद्यता जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को प्रतिबंधित नेटवर्क इंटरफेस में अनधिकृत डेटा पास करने में सक्षम कर सकती है, संभावित रूप से डेटा शुल्क को प्रभावित कर सकती है। यह डिवाइस को कॉल प्राप्त करने से रोकने के साथ-साथ एक हमलावर को कॉल की म्यूट सेटिंग्स को नियंत्रित करने की अनुमति भी दे सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता प्रभावित संस्करण तारीख की सूचना दी
सीवीई-2015-6614 Android-21900139 [ 2 ] [ 3 ] संतुलित 5.0, 5.1 जून 8, 2015

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करेगा जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

1 नवंबर, 2015 के सुरक्षा पैच स्तर के साथ LMY48X या बाद के संस्करण और Android मार्शमैलो बनाता है या बाद में इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2015-11-01]

संशोधन

  • नवंबर 02, 2015: मूल रूप से प्रकाशित