इस पेज का अनुवाद Cloud Translation API से किया गया है.

Nexus सुरक्षा बुलेटिन - नवंबर 2015

02 नवंबर 2015 को प्रकाशित

हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 1 नवंबर, 2015 के सुरक्षा पैच स्तर के साथ LMY48X या बाद के संस्करण और Android मार्शमैलो बनाता है या बाद में इन समस्याओं का समाधान करता है। अधिक विवरण के लिए सामान्य प्रश्न और उत्तर अनुभाग देखें।

भागीदारों को इन मुद्दों के बारे में 5 अक्टूबर, 2015 या इससे पहले अधिसूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच अगले 48 घंटों में Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी में जारी किए जाएंगे। हम इस बुलेटिन को AOSP लिंक के साथ उपलब्ध होने पर संशोधित करेंगे।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

न्यूनीकरण

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
Android सुरक्षा टीम, Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल होने के बारे में चेतावनी देगा। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला, Google Chrome सुरक्षा टीम: CVE-2015-6608
कॉपरहेड सिक्योरिटी में डेनियल माइके (daniel.micay@copperhead.co): CVE-2015-6609
सिस्टम सिक्योरिटी लैब के डोंगक्वान किम, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
सिस्टम सिक्योरिटी लैब के होंगिल किम, KAIST (hongilk@kaist.ac.kr): सीवीई-2015-6614
ट्रेंड माइक्रो के जैक टैंग (@ jacktang310): CVE-2015-6611
ट्रेंड माइक्रो के पीटर पाई: सीवीई-2015-6611
Google प्रोजेक्ट ज़ीरो की नताली सिल्वानोविच: CVE-2015-6608
किडन हे (@flanker_hqd) और वेन जू (@antlr7) KeenTeam (@K33nTeam, http://k33nteam.org/) से: CVE-2015-6612
गुआंग गोंग (龚广) ( @oldfresher , higongguang@gmail.com) Qihoo 360 Technology CC o.Ltd : CVE-2015-6612
ट्रेंड माइक्रो के सेवन शेन: सीवीई-2015-6610

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2015-11-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। जहां उपलब्ध है, हमने AOSP परिवर्तन को जोड़ा है जिसने समस्या को बग आईडी से संबोधित किया है। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।

सीवीई	AOSP लिंक के साथ बग (बग)	तीव्रता	प्रभावित संस्करण	तारीख की सूचना दी
सीवीई-2015-6608	एंड्रॉइड-19779574	नाजुक	5.0, 5.1, 6.0	Google आंतरिक
	एंड्रॉइड-23680780
	एंड्रॉइड-23876444
	एंड्रॉइड-23881715	नाजुक	4.4, 5.0, 5.1, 6.0	Google आंतरिक
	एंड्रॉइड-14388161	नाजुक	4.4 और 5.1	Google आंतरिक
	एंड्रॉइड-23658148	नाजुक	5.0, 5.1, 6.0	Google आंतरिक

libutils में रिमोट कोड निष्पादन भेद्यता

ऑडियो फ़ाइल प्रसंस्करण के दौरान libutils, एक सामान्य पुस्तकालय में एक भेद्यता का फायदा उठाया जा सकता है। यह भेद्यता एक हमलावर को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, स्मृति भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती है।

प्रभावित कार्यक्षमता एक एपीआई के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं। एक विशेषाधिकार प्राप्त सेवा में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को एक गंभीर गंभीरता समस्या के रूप में रेट किया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है, जिन्हें तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते।

सीवीई	AOSP लिंक के साथ बग (बग)	तीव्रता	प्रभावित संस्करण	तारीख की सूचना दी
सीवीई-2015-6609	एंड्रॉइड-22953624 [ 2 ]	नाजुक	6.0 और नीचे	अगस्त 3, 2015

Mediaserver में सूचना प्रकटीकरण कमजोरियां

मीडियासर्वर में सूचना प्रकटीकरण कमजोरियां हैं जो मंच का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती हैं।

सीवीई	AOSP लिंक के साथ बग (बग)	तीव्रता	प्रभावित संस्करण	तारीख की सूचना दी
सीवीई-2015-6611	एंड्रॉइड-23905951 [ 2 ] [ 3 ]	उच्च	6.0 और नीचे	सितम्बर 07, 2015
	एंड्रॉइड-23912202*
	एंड्रॉइड-23953967*
	एंड्रॉइड-23696300	उच्च	6.0 और नीचे	अगस्त 31, 2015
	एंड्रॉइड-23600291	उच्च	6.0 और नीचे	अगस्त 26, 2015
	एंड्रॉइड-23756261 [ 2 ]	उच्च	6.0 और नीचे	अगस्त 26, 2015
	एंड्रॉइड-23540907 [ 2 ]	उच्च	5.1 और नीचे	अगस्त 25, 2015
	एंड्रॉइड-23541506	उच्च	6.0 और नीचे	अगस्त 25, 2015
	एंड्रॉइड-23284974*
	एंड्रॉइड-23542351*
	एंड्रॉइड-23542352*
	एंड्रॉइड-23515142	उच्च	5.1 और नीचे	अगस्त 19, 2015

* इस बग के लिए पैच अन्य प्रदान किए गए AOSP लिंक में शामिल है।

libstagefright में विशेषाधिकार भेद्यता का उन्नयन

libstagefright में विशेषाधिकार भेद्यता का एक उन्नयन है जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को स्मृति भ्रष्टाचार और मध्यस्थ सेवा के संदर्भ में मनमाने ढंग से कोड निष्पादन के कारण सक्षम कर सकता है। हालांकि इस मुद्दे को सामान्य रूप से गंभीर दर्जा दिया जाएगा, हमने इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया है क्योंकि कम संभावना है कि इसका दूर से शोषण किया जा सकता है।

सीवीई	AOSP लिंक के साथ बग (बग)	तीव्रता	प्रभावित संस्करण	तारीख की सूचना दी
सीवीई-2015-6610	एंड्रॉइड-23707088 [ 2 ]	उच्च	6.0 और नीचे	अगस्त 19, 2015

libmedia में विशेषाधिकार भेद्यता का उन्नयन

लिबमेडिया में एक भेद्यता है जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर सेवा के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन विशेषाधिकारों तक पहुंचने के लिए किया जा सकता है जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सीधे पहुंच योग्य नहीं हैं।

सीवीई	AOSP लिंक के साथ बग (बग)	तीव्रता	प्रभावित संस्करण	तारीख की सूचना दी
सीवीई-2015-6612	एंड्रॉइड-23540426	उच्च	6.0 और नीचे	अगस्त 23, 2015

ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन

ब्लूटूथ में एक भेद्यता है जो एक स्थानीय एप्लिकेशन को डिवाइस पर सुनने वाले डिबग पोर्ट पर कमांड भेजने में सक्षम कर सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई	AOSP लिंक के साथ बग (बग)	तीव्रता	प्रभावित संस्करण	तारीख की सूचना दी
सीवीई-2015-6613	एंड्रॉइड-24371736	उच्च	6.0	Google आंतरिक

टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन

टेलीफोनी घटक में एक भेद्यता जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को प्रतिबंधित नेटवर्क इंटरफेस में अनधिकृत डेटा पास करने में सक्षम कर सकती है, संभावित रूप से डेटा शुल्क को प्रभावित कर सकती है। यह डिवाइस को कॉल प्राप्त करने से रोकने के साथ-साथ एक हमलावर को कॉल की म्यूट सेटिंग्स को नियंत्रित करने की अनुमति भी दे सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।

सीवीई	AOSP लिंक के साथ बग (बग)	तीव्रता	प्रभावित संस्करण	तारीख की सूचना दी
सीवीई-2015-6614	Android-21900139 [ 2 ] [ 3 ]	संतुलित	5.0, 5.1	जून 8, 2015

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करेगा जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

1 नवंबर, 2015 के सुरक्षा पैच स्तर के साथ LMY48X या बाद के संस्करण और Android मार्शमैलो बनाता है या बाद में इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2015-11-01]

संशोधन

नवंबर 02, 2015: मूल रूप से प्रकाशित