Nexus सुरक्षा बुलेटिन - दिसंबर 2015

संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

07 दिसंबर 2015 को प्रकाशित | 7 मार्च 2016 को अपडेट किया गया

हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 1 दिसंबर, 2015 के सुरक्षा पैच स्तर के साथ LMY48Z या बाद के संस्करण और Android 6.0 बनाता है या बाद में इन मुद्दों का समाधान करता है। अधिक विवरण के लिए सामान्य प्रश्न और उत्तर अनुभाग देखें।

पार्टनर को इन मुद्दों के बारे में 2 नवंबर, 2015 या इससे पहले के बारे में सूचित किया गया था और अपडेट प्रदान किए गए थे। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

न्यूनीकरण

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम, Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल होने के बारे में चेतावनी देगा। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , सीवीई-2015-6634
  • कीनटीम के फ्लैंकर ( @flanker_hqd ) ( @K33nTeam ): CVE-2015-6620
  • Qihoo 360 Technology Co.Ltd के गुआंग गोंग (龚广) ( @oldfresher , higongguang@gmail.com) : CVE-2015-6626
  • एम्बरमित्र लिमिटेड के मार्क कार्टर ( @hanpingchinese ): सीवीई-2015-6630
  • माइकल बेडनार्स्की ( https://github.com/michalbednarski ): सीवीई-2015-6621
  • Google प्रोजेक्ट ज़ीरो की नताली सिल्वानोविच: CVE-2015-6616
  • ट्रेंड माइक्रो के पीटर पाई: सीवीई-2015-6616, सीवीई-2015-6628
  • किडन हे ( @flanker_hqd ) और कीनटीम के मार्को ग्रासी ( @marcograss ) ( @K33nTeam ) : CVE-2015-6622
  • त्ज़ु-यिन (नीना) ताई: CVE-2015-6627
  • Fundación डॉ. मैनुअल Sadosky, ब्यूनस आयर्स, अर्जेंटीना में Programa STIC के जोकिन रिनाडो ( @xeroxnir ): CVE-2015-6631
  • Baidu एक्स-टीम के वांगटाओ (नियोबाइट): CVE-2015-6626

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2015-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित बग, गंभीरता, अद्यतन संस्करण और रिपोर्ट की गई तिथि है। उपलब्ध होने पर, हम AOSP परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6616 एंड्रॉइड-24630158 नाजुक 6.0 और नीचे Google आंतरिक
एंड्रॉइड-23882800 नाजुक 6.0 और नीचे Google आंतरिक
एंड्रॉइड-17769851 नाजुक 5.1 और नीचे Google आंतरिक
एंड्रॉइड-24441553 नाजुक 6.0 और नीचे सितम्बर 22, 2015
एंड्रॉइड-24157524 नाजुक 6.0 सितम्बर 08, 2015

स्की में रिमोट कोड निष्पादन भेद्यता

विशेष रूप से तैयार की गई मीडिया फ़ाइल को संसाधित करते समय स्कीया घटक में एक भेद्यता का लाभ उठाया जा सकता है, जिससे एक विशेषाधिकार प्राप्त प्रक्रिया में स्मृति भ्रष्टाचार और रिमोट कोड निष्पादन हो सकता है। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई हमले विधियों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6617 एंड्रॉइड-23648740 नाजुक 6.0 और नीचे गूगल आंतरिक

कर्नेल में विशेषाधिकार का उन्नयन

सिस्टम कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रूट संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है और डिवाइस को केवल ऑपरेटिंग सिस्टम को फिर से फ्लैश करके ही मरम्मत की जा सकती है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6619 एंड्रॉइड-23520714 नाजुक 6.0 और नीचे जून 7, 2015

प्रदर्शन चालक में रिमोट कोड निष्पादन भेद्यता

डिस्प्ले ड्राइवरों में कमजोरियां हैं, जो मीडिया फ़ाइल को संसाधित करते समय, मीडिया सर्वर द्वारा लोड किए गए उपयोगकर्ता मोड ड्राइवर के संदर्भ में स्मृति भ्रष्टाचार और संभावित मनमानी कोड निष्पादन का कारण बन सकती हैं। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई हमले विधियों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6633 एंड्रॉइड-23987307* नाजुक 6.0 और नीचे Google आंतरिक
सीवीई-2015-6634 एंड्रॉइड-24163261 [ 2 ] [ 3 ] [ 4 ] नाजुक 5.1 और नीचे Google आंतरिक

*इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता

एंड्रॉइड के ब्लूटूथ घटक में एक भेद्यता रिमोट कोड निष्पादन की अनुमति दे सकती है। हालाँकि ऐसा होने से पहले कई मैनुअल चरणों की आवश्यकता होती है। ऐसा करने के लिए व्यक्तिगत क्षेत्र नेटवर्क (पैन) प्रोफ़ाइल सक्षम होने के बाद (उदाहरण के लिए ब्लूटूथ टेथरिंग का उपयोग करके) और डिवाइस को युग्मित करने के बाद, इसे सफलतापूर्वक युग्मित डिवाइस की आवश्यकता होगी। रिमोट कोड का निष्पादन ब्लूटूथ सेवा के विशेषाधिकार पर होगा। एक डिवाइस केवल स्थानीय निकटता में सफलतापूर्वक युग्मित डिवाइस से इस समस्या के लिए असुरक्षित है।

इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि एक हमलावर केवल कई मैनुअल कदम उठाए जाने के बाद और स्थानीय रूप से समीपवर्ती हमलावर से, जिसे पहले किसी डिवाइस को पेयर करने की अनुमति दी गई थी, मनमाने कोड को दूरस्थ रूप से निष्पादित कर सकता है।

सीवीई बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6618 एंड्रॉइड-24595992* उच्च 4.4, 5.0, और 5.1 सितम्बर 28, 2015

*इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

libstagefright में विशेषाधिकार कमजोरियों का उन्नयन

libstagefright में कई कमजोरियां हैं जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती हैं। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6620 एंड्रॉइड-24123723 उच्च 6.0 और नीचे सितम्बर 10, 2015
एंड्रॉइड-24445127 उच्च 6.0 और नीचे सितम्बर 2, 2015

सिस्टमयूआई में विशेषाधिकार भेद्यता का उन्नयन

क्लॉक एप्लिकेशन का उपयोग करते हुए अलार्म सेट करते समय, सिस्टमयूआई घटक में एक भेद्यता किसी एप्लिकेशन को उच्च विशेषाधिकार स्तर पर कार्य निष्पादित करने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6621 एंड्रॉइड-23909438 उच्च 5.0, 5.1, और 6.0 सितम्बर 7, 2015

नेटिव फ्रेमवर्क लाइब्रेरी में सूचना प्रकटीकरण भेद्यता

एंड्रॉइड नेटिव फ्रेमवर्क लाइब्रेरी में एक सूचना प्रकटीकरण भेद्यता प्लेटफॉर्म का फायदा उठाने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6622 एंड्रॉइड-23905002 उच्च 6.0 और नीचे सितम्बर 7, 2015

वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन

वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6623 एंड्रॉइड-24872703 उच्च 6.0 Google आंतरिक

सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन

सिस्टम सर्वर घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सेवा संबंधी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6624 एंड्रॉइड-23999740 उच्च 6.0 गूगल आंतरिक

libstagefright में सूचना प्रकटीकरण भेद्यताएं

लिबस्टेजफ्रेट में सूचना प्रकटीकरण कमजोरियां हैं कि मीडियासर्वर के साथ संचार के दौरान, मंच का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकता है। इन मुद्दों को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6632 एंड्रॉइड-24346430 उच्च 6.0 और नीचे Google आंतरिक
सीवीई-2015-6626 एंड्रॉइड-24310423 उच्च 6.0 और नीचे सितम्बर 2, 2015
सीवीई-2015-6631 एंड्रॉइड-24623447 उच्च 6.0 और नीचे अगस्त 21, 2015

ऑडियो में सूचना प्रकटीकरण भेद्यता

ऑडियो फ़ाइल प्रसंस्करण के दौरान ऑडियो घटक में एक भेद्यता का फायदा उठाया जा सकता है। यह भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, सूचना प्रकटीकरण का कारण बनने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6627 एंड्रॉइड-24211743 उच्च 6.0 और नीचे Google आंतरिक

मीडिया ढाँचे में सूचना प्रकटीकरण सुभेद्यता

मीडिया फ्रेमवर्क में एक सूचना प्रकटीकरण भेद्यता है कि मीडियासर्वर के साथ संचार के दौरान, मंच का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6628 एंड्रॉइड-24074485 उच्च 6.0 और नीचे सितम्बर 8, 2015

वाई-फाई में सूचना प्रकटीकरण भेद्यता

वाई-फाई घटक में एक भेद्यता एक हमलावर को वाई-फाई सेवा को जानकारी का खुलासा करने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6629 एंड्रॉइड-22667667 उच्च 5.1 और 5.0 Google आंतरिक

सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन

सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को वाई-फाई सेवा से संबंधित जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6625 एंड्रॉइड-23936840 संतुलित 6.0 Google आंतरिक

SystemUI में सूचना प्रकटीकरण सुभेद्यता

सिस्टमयूआई में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को स्क्रीनशॉट तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग (बग) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-6630 एंड्रॉइड-19121797 संतुलित 5.0, 5.1, और 6.0 जनवरी 22, 2015

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करेगा जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

1 दिसंबर, 2015 के सुरक्षा पैच स्तर के साथ LMY48Z या बाद के संस्करण और Android 6.0 बनाता है या बाद में इन मुद्दों का समाधान करता है। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2015-12-01]

संशोधन

  • 07 दिसंबर, 2015: मूल रूप से प्रकाशित
  • 09 दिसंबर, 2015: एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
  • 22 दिसंबर, 2015: पावती अनुभाग में लापता क्रेडिट जोड़ा गया।
  • 07 मार्च, 2016: पावती अनुभाग में लापता क्रेडिट जोड़ा गया।