पब्लिश करने की तारीख: 02 नवंबर, 2015
हमने Android सुरक्षा बुलेटिन के हर महीने रिलीज़ होने वाले अपडेट के तहत, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. यह अपडेट, ओवर-द-एयर (ओटीए) के ज़रिए मिलेगा. Nexus फ़र्मवेयर इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. LMY48X या इसके बाद के वर्शन और 1 नवंबर, 2015 या इसके बाद के सिक्योरिटी पैच लेवल वाले Android Marshmallow में, ये समस्याएं नहीं होतीं. ज़्यादा जानकारी के लिए, अक्सर पूछे जाने वाले सवाल और उनके जवाब सेक्शन देखें.
पार्टनर को इन समस्याओं के बारे में 5 अक्टूबर, 2015 या उससे पहले सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, अगले 48 घंटों में Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए जाएंगे. AOSP के लिंक उपलब्ध होने पर, हम इस सूचना में बदलाव करेंगे.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें इन नई समस्याओं के बारे में, ग्राहकों के शोषण की कोई शिकायत नहीं मिली है. Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा उपायों और SafetyNet जैसी सेवा सुरक्षा के बारे में ज़्यादा जानने के लिए, कम करने के तरीके सेक्शन देखें. ये उपाय, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाते हैं. हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
जोखिम कम करने के तरीके
यहां Android सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उन उपायों के बारे में खास जानकारी दी गई है जिनकी मदद से, इस तरह के खतरों को कम किया जा सकता है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रख रही है. इससे, इंस्टॉल किए जाने वाले संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी मिलेगी. Google Play पर, डिवाइस को रूट करने वाले टूल उपलब्ध नहीं कराए जा सकते. Google Play के अलावा किसी अन्य सोर्स से ऐप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं को सुरक्षित रखने के लिए, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, उपयोगकर्ताओं को रूट करने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Verify ऐप्लिकेशन, ऐसे नुकसान पहुंचाने वाले ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करता है जो ऐक्सेस लेवल बढ़ाने की सुविधा का गलत इस्तेमाल करते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और ऐसे सभी ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, मीडिया को mediaserver जैसी प्रोसेस को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- अभिषेक आर्य, ओलिवर चांग, और मार्टिन बारबेला, Google Chrome की सुरक्षा टीम: CVE-2015-6608
- Copperhead Security के डेनियल माइके (daniel.micay@copperhead.co): CVE-2015-6609
- सिस्टम सिक्योरिटी लैब, केएआईएसटी के किम डोंगक्वान (dkay@kaist.ac.kr): CVE-2015-6614
- सिस्टम सिक्योरिटी लैब, KAIST के होंगिल किम (hongilk@kaist.ac.kr): CVE-2015-6614
- Trend Micro के जैक टैंग (@jacktang310): CVE-2015-6611
- Trend Micro के पीटर पाई: CVE-2015-6611
- Google Project Zero की नैटली सिल्वानोविच: CVE-2015-6608
- KeenTeam (@K33nTeam, http://k33nteam.org/) के Qidan He (@flanker_hqd) और Wen Xu (@antlr7): CVE-2015-6612
- Qihoo 360 Technology CC o.Ltd के गुआंग गोंग (龚广) (@oldfresher, higongguang@gmail.com): CVE-2015-6612
- Trend Micro का Seven Shen: CVE-2015-6610
सुरक्षा से जुड़े जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-11-2015 के पैच लेवल पर लागू होती हैं. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और सीवीई, उससे जुड़ी गड़बड़ी, गंभीरता, जिन वर्शन पर असर पड़ा है, और शिकायत करने की तारीख वाली टेबल शामिल होती है. जहां उपलब्ध हो, हमने उस AOSP बदलाव को बग आईडी से लिंक किया है जिसकी वजह से समस्या हल हुई है. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से, AOSP के अन्य रेफ़रंस जुड़े होते हैं.
Mediaserver में, रिमोट कोड को लागू करने से जुड़ी सुरक्षा से जुड़ी समस्याएं
खास तौर पर तैयार की गई मीडिया फ़ाइल और डेटा को प्रोसेस करने के दौरान, मीडिया सर्वर में मौजूद कमजोरियों की वजह से, हैकर को मेमोरी को नुकसान पहुंचाने और रिमोट कोड प्रोग्राम चलाने का मौका मिल सकता है.
जिस फ़ंक्शन पर असर पड़ा है उसे ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट के ज़रिए उस फ़ंक्शन को ऐक्सेस किया जा सकता है. इनमें मल्टीमीडिया मैसेज (एमएमएस) और ब्राउज़र से मीडिया चलाने की सुविधा सबसे अहम है.
मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेटिंग दी गई है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | ऐसे वर्शन जिन पर ऐप्लिकेशन बंद होने या ANR की गड़बड़ी का असर पड़ा | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | सबसे अहम | 5.0, 5.1, 6.0 | Google आन्तरिक |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | सबसे अहम | 4.4, 5.0, 5.1, 6.0 | Google आन्तरिक | |
| ANDROID-14388161 | सबसे अहम | 4.4 और 5.1 | Google आन्तरिक | |
| ANDROID-23658148 | सबसे अहम | 5.0, 5.1, 6.0 | Google आन्तरिक |
libutils में रिमोट कोड को चलाने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
ऑडियो फ़ाइल को प्रोसेस करने के दौरान, libutils नाम की सामान्य लाइब्रेरी में मौजूद किसी कमज़ोरी का फ़ायदा उठाया जा सकता है. इस जोखिम की वजह से, किसी हैकर को खास तौर पर तैयार की गई फ़ाइल को प्रोसेस करने के दौरान, मेमोरी में गड़बड़ी करने और रिमोट कोड को चलाने का मौका मिल सकता है.
जिस सुविधा पर असर पड़ा है उसे एपीआई के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट को ऐक्सेस किया जा सकता है. इनमें सबसे अहम एमएमएस और ब्राउज़र पर मीडिया चलाने की सुविधा है. किसी खास सुविधा वाली सेवा में रिमोट कोड प्रोग्राम चलाए जाने की संभावना की वजह से, इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है. जिस कॉम्पोनेंट पर असर पड़ा है उसके पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस है. साथ ही, उस कॉम्पोनेंट के पास ऐसी सुविधाओं का ऐक्सेस भी है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | ऐसे वर्शन जिन पर ऐप्लिकेशन बंद होने या ANR की गड़बड़ी का असर पड़ा | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | सबसे अहम | 6.0 और इससे पहले के वर्शन | 3 अगस्त, 2015 |
Mediaserver में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंकाएं
mediaserver में, जानकारी को सार्वजनिक करने से जुड़ी जोखिम की आशंकाएं मौजूद हैं. इनसे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों के लिए, सुरक्षा से जुड़े उपायों को बायपास करना आसान हो जाता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | ऐसे वर्शन जिन पर ऐप्लिकेशन बंद होने या ANR की गड़बड़ी का असर पड़ा | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | ज़्यादा | 6.0 और इससे पहले के वर्शन | 07 सितंबर, 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 31 अगस्त, 2015 | |
| ANDROID-23600291 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 26 अगस्त, 2015 | |
| ANDROID-23756261 [2] | ज़्यादा | 6.0 और इससे पहले के वर्शन | 26 अगस्त, 2015 | |
| ANDROID-23540907 [2] | ज़्यादा | 5.1 और इससे पहले के वर्शन | 25 अगस्त, 2015 | |
| ANDROID-23541506 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 25 अगस्त, 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | ज़्यादा | 5.1 और इससे पहले के वर्शन | 19 अगस्त, 2015 |
* इस गड़बड़ी का पैच, दिए गए अन्य AOSP लिंक में शामिल है.
libstagefright में प्रिविलेज एस्कलेशन की समस्या
libstagefright में प्रिविलेज एस्कलेशन की समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को मीडिया सर्वर सेवा के संदर्भ में, मेमोरी को खराब करने और मनमुताबिक कोड चलाने की अनुमति मिल सकती है. आम तौर पर, इस समस्या को गंभीर माना जाता है. हालांकि, हमने इस समस्या को गंभीरता के हिसाब से 'ज़्यादा' के तौर पर रेट किया है. इसकी वजह यह है कि इस समस्या का इस्तेमाल, रिमोट तौर पर करने की संभावना कम है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | ऐसे वर्शन जिन पर ऐप्लिकेशन बंद होने या ANR की गड़बड़ी का असर पड़ा | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | ज़्यादा | 6.0 और इससे पहले के वर्शन | 19 अगस्त, 2015 |
libmedia में प्रिविलेज एस्कलेशन की समस्या
libmedia में एक जोखिम है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, मीडिया सर्वर सेवा के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उन विशेषाधिकारों को ऐक्सेस करने के लिए किया जा सकता है जिन्हें तीसरे पक्ष के ऐप्लिकेशन से सीधे तौर पर ऐक्सेस नहीं किया जा सकता.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | ऐसे वर्शन जिन पर ऐप्लिकेशन बंद होने या ANR की गड़बड़ी का असर पड़ा | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 23 अगस्त, 2015 |
ब्लूटूथ में प्रिविलेज एस्केलेशन की समस्या
ब्लूटूथ में एक ऐसी समस्या है जिसकी वजह से, कोई स्थानीय ऐप्लिकेशन डिवाइस पर मौजूद, सुनने वाले डीबग पोर्ट को निर्देश भेज सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार, जिन्हें तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | ऐसे वर्शन जिन पर ऐप्लिकेशन बंद होने या ANR की गड़बड़ी का असर पड़ा | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | ज़्यादा | 6.0 | Google आन्तरिक |
टेलीफ़ोनी में खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल
टेलीफ़ोनी कॉम्पोनेंट में एक ऐसी समस्या है जिसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, पाबंदी वाले नेटवर्क इंटरफ़ेस पर बिना अनुमति वाला डेटा भेज सकता है. इससे, डेटा शुल्क पर असर पड़ सकता है. इससे डिवाइस पर कॉल भी नहीं आ सकते. साथ ही, हमलावर कॉल की म्यूट सेटिंग को कंट्रोल कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल गलत तरीके से “खतरनाक” अनुमतियां पाने के लिए किया जा सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | ऐसे वर्शन जिन पर ऐप्लिकेशन बंद होने या ANR की गड़बड़ी का असर पड़ा | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | काफ़ी हद तक ठीक है | 5.0, 5.1 | 8 जून, 2015 |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
LMY48X या इसके बाद के वर्शन और 1 नवंबर, 2015 या इसके बाद के सिक्योरिटी पैच लेवल वाले Android Marshmallow में, ये समस्याएं नहीं होतीं. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, Nexus दस्तावेज़ देखें. डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2015-11-01]
संशोधन
- 02 नवंबर, 2015: पहली बार पब्लिश किया गया