नेक्सस सुरक्षा बुलेटिन - दिसंबर 2015

07 दिसंबर 2015 को प्रकाशित | 7 मार्च 2016 को अद्यतन किया गया

हमने अपनी एंड्रॉइड सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के हिस्से के रूप में ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। LMY48Z या उसके बाद का संस्करण और 1 दिसंबर, 2015 या उसके बाद के सुरक्षा पैच स्तर के साथ Android 6.0 इन समस्याओं का समाधान करता है। अधिक जानकारी के लिए सामान्य प्रश्न और उत्तर अनुभाग देखें।

साझेदारों को 2 नवंबर 2015 या उससे पहले इन मुद्दों के बारे में सूचित किया गया था और अपडेट प्रदान किए गए थे। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Verify Apps और SafetyNet के साथ दुरुपयोग की सक्रिय रूप से निगरानी कर रही है जो इंस्टॉल होने वाले संभावित हानिकारक एप्लिकेशन के बारे में चेतावनी देगी। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, Verify Apps डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित ऐप्स विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की स्थापना को पहचानने और अवरुद्ध करने का प्रयास करता है। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं तक नहीं पहुंचाते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , सीवीई-2015-6634
  • कीनटीम के फ़्लैंकर ( @flanker_hqd ) ( @K33nTeam ): CVE-2015-6620
  • Qihoo 360 टेक्नोलॉजी कंपनी लिमिटेड के गुआंग गोंग (龚广) ( @oldfresher , higongguang@gmail.com) : CVE-2015-6626
  • एम्बरमिटर लिमिटेड के मार्क कार्टर ( @hanpingchinese ): CVE-2015-6630
  • माइकल बेडनार्स्की ( https://github.com/michalbednarski ): CVE-2015-6621
  • Google प्रोजेक्ट ज़ीरो की नताली सिल्वानोविच: CVE-2015-6616
  • ट्रेंड माइक्रो के पीटर पाई: CVE-2015-6616, CVE-2015-6628
  • किदान हे ( @flanker_hqd ) और कीनटीम के मार्को ग्रासी ( @marcograss ) ( @K33nTeam ): CVE-2015-6622
  • त्ज़ु-यिन (नीना) ताई: सीवीई-2015-6627
  • फंडाकियोन डॉ. मैनुअल सैडोस्की, ब्यूनस आयर्स, अर्जेंटीना में प्रोग्रामा एसटीआईसी के जोक्विन रिनाडो ( @xeroxnir ): CVE-2015-6631
  • Baidu एक्स-टीम का वांगताओ (नियोबाइट): CVE-2015-6626

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2015-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, अद्यतन संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम समस्या को संबोधित करने वाले AOSP परिवर्तन को बग आईडी से लिंक करेंगे। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियासर्वर में रिमोट कोड निष्पादन कमजोरियाँ

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6616 एंड्रॉइड-24630158 गंभीर 6.0 और नीचे गूगल आंतरिक
एंड्रॉइड-23882800 गंभीर 6.0 और नीचे गूगल आंतरिक
एंड्रॉइड-17769851 गंभीर 5.1 और नीचे गूगल आंतरिक
एंड्रॉइड-24441553 गंभीर 6.0 और नीचे सितम्बर 22, 2015
एंड्रॉइड-24157524 गंभीर 6.0 सितम्बर 08, 2015

स्कीया में रिमोट कोड निष्पादन भेद्यता

विशेष रूप से तैयार की गई मीडिया फ़ाइल को संसाधित करते समय स्कीया घटक में एक भेद्यता का लाभ उठाया जा सकता है, जिससे विशेषाधिकार प्राप्त प्रक्रिया में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन हो सकता है। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई आक्रमण तरीकों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6617 एंड्रॉइड-23648740 गंभीर 6.0 और नीचे गूगल आंतरिक

कर्नेल में विशेषाधिकार का उन्नयन

सिस्टम कर्नेल में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रूट संदर्भ के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है और डिवाइस को केवल ऑपरेटिंग सिस्टम को फिर से फ्लैश करके ही ठीक किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6619 एंड्रॉइड-23520714 गंभीर 6.0 और नीचे 7 जून 2015

डिस्प्ले ड्राइवर में रिमोट कोड निष्पादन कमजोरियाँ

डिस्प्ले ड्राइवरों में कमजोरियां हैं, जो मीडिया फ़ाइल को संसाधित करते समय, मीडियासर्वर द्वारा लोड किए गए उपयोगकर्ता मोड ड्राइवर के संदर्भ में मेमोरी भ्रष्टाचार और संभावित मनमाने कोड निष्पादन का कारण बन सकती हैं। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई आक्रमण तरीकों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6633 एंड्रॉइड-23987307* गंभीर 6.0 और नीचे गूगल आंतरिक
सीवीई-2015-6634 एंड्रॉइड-24163261 [ 2 ] [ 3 ] [ 4 ] गंभीर 5.1 और नीचे गूगल आंतरिक

*इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता

एंड्रॉइड के ब्लूटूथ घटक में एक भेद्यता रिमोट कोड निष्पादन की अनुमति दे सकती है। हालाँकि ऐसा होने से पहले कई मैन्युअल चरणों की आवश्यकता होती है। ऐसा करने के लिए व्यक्तिगत क्षेत्र नेटवर्क (पैन) प्रोफ़ाइल सक्षम होने के बाद (उदाहरण के लिए ब्लूटूथ टेथरिंग का उपयोग करके) और डिवाइस को युग्मित करने के बाद, एक सफलतापूर्वक युग्मित डिवाइस की आवश्यकता होगी। रिमोट कोड निष्पादन ब्लूटूथ सेवा के विशेषाधिकार पर होगा। एक डिवाइस केवल स्थानीय निकटता में सफलतापूर्वक युग्मित डिवाइस से ही इस समस्या के प्रति संवेदनशील है।

इस समस्या को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि एक हमलावर कई मैन्युअल कदम उठाए जाने के बाद और स्थानीय रूप से निकटतम हमलावर से मनमाने कोड को दूरस्थ रूप से निष्पादित कर सकता है जिसे पहले डिवाइस को जोड़ने की अनुमति दी गई थी।

सीवीई बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6618 एंड्रॉइड-24595992* उच्च 4.4, 5.0, और 5.1 सितम्बर 28, 2015

*इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

libstagefright में विशेषाधिकार कमजोरियों का उन्नयन

लिबस्टेजफ्राइट में कई कमजोरियां हैं जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती हैं। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6620 एंड्रॉइड-24123723 उच्च 6.0 और नीचे सितम्बर 10, 2015
एंड्रॉइड-24445127 उच्च 6.0 और नीचे 2 सितम्बर 2015

SystemUI में विशेषाधिकार भेद्यता का बढ़ना

क्लॉक एप्लिकेशन का उपयोग करके अलार्म सेट करते समय, SystemUI घटक में एक भेद्यता किसी एप्लिकेशन को ऊंचे विशेषाधिकार स्तर पर कार्य निष्पादित करने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6621 एंड्रॉइड-23909438 उच्च 5.0, 5.1, और 6.0 सितम्बर 7, 2015

नेटिव फ्रेमवर्क लाइब्रेरी में सूचना प्रकटीकरण भेद्यता

एंड्रॉइड नेटिव फ्रेमवर्क लाइब्रेरी में सूचना प्रकटीकरण भेद्यता प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6622 एंड्रॉइड-23905002 उच्च 6.0 और नीचे सितम्बर 7, 2015

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6623 एंड्रॉइड-24872703 उच्च 6.0 गूगल आंतरिक

सिस्टम सर्वर में विशेषाधिकार भेद्यता का बढ़ना

सिस्टम सर्वर घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सेवा संबंधी जानकारी तक पहुंच प्राप्त करने में सक्षम बना सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6624 एंड्रॉइड-23999740 उच्च 6.0 गूगल आंतरिक

libstagefright में सूचना प्रकटीकरण कमजोरियाँ

लिबस्टेजफ्राइट में सूचना प्रकटीकरण कमजोरियां हैं जो मीडियासर्वर के साथ संचार के दौरान, प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती हैं। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6632 एंड्रॉइड-24346430 उच्च 6.0 और नीचे गूगल आंतरिक
सीवीई-2015-6626 एंड्रॉइड-24310423 उच्च 6.0 और नीचे 2 सितम्बर 2015
सीवीई-2015-6631 एंड्रॉइड-24623447 उच्च 6.0 और नीचे 21 अगस्त 2015

ऑडियो में सूचना प्रकटीकरण भेद्यता

ऑडियो फ़ाइल प्रसंस्करण के दौरान ऑडियो घटक में भेद्यता का फायदा उठाया जा सकता है। यह भेद्यता किसी स्थानीय दुर्भावनापूर्ण एप्लिकेशन को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, जानकारी प्रकट करने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6627 एंड्रॉइड-24211743 उच्च 6.0 और नीचे गूगल आंतरिक

मीडिया फ्रेमवर्क में सूचना प्रकटीकरण भेद्यता

मीडिया फ्रेमवर्क में एक सूचना प्रकटीकरण भेद्यता है जो मीडियासर्वर के साथ संचार के दौरान, प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार जैसी उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6628 एंड्रॉइड-24074485 उच्च 6.0 और नीचे सितम्बर 8, 2015

वाई-फाई में सूचना प्रकटीकरण भेद्यता

वाई-फ़ाई घटक में भेद्यता किसी हमलावर को वाई-फ़ाई सेवा को जानकारी प्रकट करने का कारण बना सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6629 एंड्रॉइड-22667667 उच्च 5.1 और 5.0 गूगल आंतरिक

सिस्टम सर्वर में विशेषाधिकार भेद्यता का बढ़ना

सिस्टम सर्वर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन वाई-फाई सेवा से संबंधित जानकारी तक पहुंच प्राप्त करने में सक्षम हो सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित तरीके से " खतरनाक " अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6625 एंड्रॉइड-23936840 मध्यम 6.0 गूगल आंतरिक

SystemUI में सूचना प्रकटीकरण भेद्यता

SystemUI में सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को स्क्रीनशॉट तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित तरीके से " खतरनाक " अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6630 एंड्रॉइड-19121797 मध्यम 5.0, 5.1, और 6.0 22 जनवरी 2015

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तरों की समीक्षा करेगा जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

LMY48Z या उसके बाद का संस्करण और 1 दिसंबर 2015 या उसके बाद के सुरक्षा पैच स्तर के साथ Android 6.0 इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2015-12-01]

संशोधन

  • 07 दिसंबर, 2015: मूल रूप से प्रकाशित
  • 09 दिसंबर, 2015: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
  • 22 दिसंबर, 2015: अभिस्वीकृति अनुभाग में गुम क्रेडिट जोड़ा गया।
  • मार्च 07, 2016: अभिस्वीकृति अनुभाग में गुम क्रेडिट जोड़ा गया।