07 दिसंबर 2015 को प्रकाशित | 7 मार्च 2016 को अद्यतन किया गया
हमने अपनी एंड्रॉइड सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के हिस्से के रूप में ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। LMY48Z या उसके बाद का संस्करण और 1 दिसंबर, 2015 या उसके बाद के सुरक्षा पैच स्तर के साथ Android 6.0 इन समस्याओं का समाधान करता है। अधिक जानकारी के लिए सामान्य प्रश्न और उत्तर अनुभाग देखें।
साझेदारों को 2 नवंबर 2015 या उससे पहले इन मुद्दों के बारे में सूचित किया गया था और अपडेट प्रदान किए गए थे। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।
इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम Verify Apps और SafetyNet के साथ दुरुपयोग की सक्रिय रूप से निगरानी कर रही है जो इंस्टॉल होने वाले संभावित हानिकारक एप्लिकेशन के बारे में चेतावनी देगी। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, Verify Apps डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित ऐप्स विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की स्थापना को पहचानने और अवरुद्ध करने का प्रयास करता है। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं तक नहीं पहुंचाते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , सीवीई-2015-6634
- कीनटीम के फ़्लैंकर ( @flanker_hqd ) ( @K33nTeam ): CVE-2015-6620
- Qihoo 360 टेक्नोलॉजी कंपनी लिमिटेड के गुआंग गोंग (龚广) ( @oldfresher , higongguang@gmail.com) : CVE-2015-6626
- एम्बरमिटर लिमिटेड के मार्क कार्टर ( @hanpingchinese ): CVE-2015-6630
- माइकल बेडनार्स्की ( https://github.com/michalbednarski ): CVE-2015-6621
- Google प्रोजेक्ट ज़ीरो की नताली सिल्वानोविच: CVE-2015-6616
- ट्रेंड माइक्रो के पीटर पाई: CVE-2015-6616, CVE-2015-6628
- किदान हे ( @flanker_hqd ) और कीनटीम के मार्को ग्रासी ( @marcograss ) ( @K33nTeam ): CVE-2015-6622
- त्ज़ु-यिन (नीना) ताई: सीवीई-2015-6627
- फंडाकियोन डॉ. मैनुअल सैडोस्की, ब्यूनस आयर्स, अर्जेंटीना में प्रोग्रामा एसटीआईसी के जोक्विन रिनाडो ( @xeroxnir ): CVE-2015-6631
- Baidu एक्स-टीम का वांगताओ (नियोबाइट): CVE-2015-6626
सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2015-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, अद्यतन संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम समस्या को संबोधित करने वाले AOSP परिवर्तन को बग आईडी से लिंक करेंगे। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
मीडियासर्वर में रिमोट कोड निष्पादन कमजोरियाँ
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6616 | एंड्रॉइड-24630158 | गंभीर | 6.0 और नीचे | गूगल आंतरिक |
| एंड्रॉइड-23882800 | गंभीर | 6.0 और नीचे | गूगल आंतरिक | |
| एंड्रॉइड-17769851 | गंभीर | 5.1 और नीचे | गूगल आंतरिक | |
| एंड्रॉइड-24441553 | गंभीर | 6.0 और नीचे | सितम्बर 22, 2015 | |
| एंड्रॉइड-24157524 | गंभीर | 6.0 | सितम्बर 08, 2015 |
स्कीया में रिमोट कोड निष्पादन भेद्यता
विशेष रूप से तैयार की गई मीडिया फ़ाइल को संसाधित करते समय स्कीया घटक में एक भेद्यता का लाभ उठाया जा सकता है, जिससे विशेषाधिकार प्राप्त प्रक्रिया में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन हो सकता है। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई आक्रमण तरीकों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6617 | एंड्रॉइड-23648740 | गंभीर | 6.0 और नीचे | गूगल आंतरिक |
कर्नेल में विशेषाधिकार का उन्नयन
सिस्टम कर्नेल में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रूट संदर्भ के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है और डिवाइस को केवल ऑपरेटिंग सिस्टम को फिर से फ्लैश करके ही ठीक किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6619 | एंड्रॉइड-23520714 | गंभीर | 6.0 और नीचे | 7 जून 2015 |
डिस्प्ले ड्राइवर में रिमोट कोड निष्पादन कमजोरियाँ
डिस्प्ले ड्राइवरों में कमजोरियां हैं, जो मीडिया फ़ाइल को संसाधित करते समय, मीडियासर्वर द्वारा लोड किए गए उपयोगकर्ता मोड ड्राइवर के संदर्भ में मेमोरी भ्रष्टाचार और संभावित मनमाने कोड निष्पादन का कारण बन सकती हैं। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई आक्रमण तरीकों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6633 | एंड्रॉइड-23987307* | गंभीर | 6.0 और नीचे | गूगल आंतरिक |
| सीवीई-2015-6634 | एंड्रॉइड-24163261 [ 2 ] [ 3 ] [ 4 ] | गंभीर | 5.1 और नीचे | गूगल आंतरिक |
*इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता
एंड्रॉइड के ब्लूटूथ घटक में एक भेद्यता रिमोट कोड निष्पादन की अनुमति दे सकती है। हालाँकि ऐसा होने से पहले कई मैन्युअल चरणों की आवश्यकता होती है। ऐसा करने के लिए व्यक्तिगत क्षेत्र नेटवर्क (पैन) प्रोफ़ाइल सक्षम होने के बाद (उदाहरण के लिए ब्लूटूथ टेथरिंग का उपयोग करके) और डिवाइस को युग्मित करने के बाद, एक सफलतापूर्वक युग्मित डिवाइस की आवश्यकता होगी। रिमोट कोड निष्पादन ब्लूटूथ सेवा के विशेषाधिकार पर होगा। एक डिवाइस केवल स्थानीय निकटता में सफलतापूर्वक युग्मित डिवाइस से ही इस समस्या के प्रति संवेदनशील है।
इस समस्या को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि एक हमलावर कई मैन्युअल कदम उठाए जाने के बाद और स्थानीय रूप से निकटतम हमलावर से मनमाने कोड को दूरस्थ रूप से निष्पादित कर सकता है जिसे पहले डिवाइस को जोड़ने की अनुमति दी गई थी।
| सीवीई | बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6618 | एंड्रॉइड-24595992* | उच्च | 4.4, 5.0, और 5.1 | सितम्बर 28, 2015 |
*इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
libstagefright में विशेषाधिकार कमजोरियों का उन्नयन
लिबस्टेजफ्राइट में कई कमजोरियां हैं जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती हैं। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6620 | एंड्रॉइड-24123723 | उच्च | 6.0 और नीचे | सितम्बर 10, 2015 |
| एंड्रॉइड-24445127 | उच्च | 6.0 और नीचे | 2 सितम्बर 2015 |
SystemUI में विशेषाधिकार भेद्यता का बढ़ना
क्लॉक एप्लिकेशन का उपयोग करके अलार्म सेट करते समय, SystemUI घटक में एक भेद्यता किसी एप्लिकेशन को ऊंचे विशेषाधिकार स्तर पर कार्य निष्पादित करने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6621 | एंड्रॉइड-23909438 | उच्च | 5.0, 5.1, और 6.0 | सितम्बर 7, 2015 |
नेटिव फ्रेमवर्क लाइब्रेरी में सूचना प्रकटीकरण भेद्यता
एंड्रॉइड नेटिव फ्रेमवर्क लाइब्रेरी में सूचना प्रकटीकरण भेद्यता प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6622 | एंड्रॉइड-23905002 | उच्च | 6.0 और नीचे | सितम्बर 7, 2015 |
वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना
वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6623 | एंड्रॉइड-24872703 | उच्च | 6.0 | गूगल आंतरिक |
सिस्टम सर्वर में विशेषाधिकार भेद्यता का बढ़ना
सिस्टम सर्वर घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सेवा संबंधी जानकारी तक पहुंच प्राप्त करने में सक्षम बना सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6624 | एंड्रॉइड-23999740 | उच्च | 6.0 | गूगल आंतरिक |
libstagefright में सूचना प्रकटीकरण कमजोरियाँ
लिबस्टेजफ्राइट में सूचना प्रकटीकरण कमजोरियां हैं जो मीडियासर्वर के साथ संचार के दौरान, प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती हैं। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6632 | एंड्रॉइड-24346430 | उच्च | 6.0 और नीचे | गूगल आंतरिक |
| सीवीई-2015-6626 | एंड्रॉइड-24310423 | उच्च | 6.0 और नीचे | 2 सितम्बर 2015 |
| सीवीई-2015-6631 | एंड्रॉइड-24623447 | उच्च | 6.0 और नीचे | 21 अगस्त 2015 |
ऑडियो में सूचना प्रकटीकरण भेद्यता
ऑडियो फ़ाइल प्रसंस्करण के दौरान ऑडियो घटक में भेद्यता का फायदा उठाया जा सकता है। यह भेद्यता किसी स्थानीय दुर्भावनापूर्ण एप्लिकेशन को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, जानकारी प्रकट करने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6627 | एंड्रॉइड-24211743 | उच्च | 6.0 और नीचे | गूगल आंतरिक |
मीडिया फ्रेमवर्क में सूचना प्रकटीकरण भेद्यता
मीडिया फ्रेमवर्क में एक सूचना प्रकटीकरण भेद्यता है जो मीडियासर्वर के साथ संचार के दौरान, प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार जैसी उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6628 | एंड्रॉइड-24074485 | उच्च | 6.0 और नीचे | सितम्बर 8, 2015 |
वाई-फाई में सूचना प्रकटीकरण भेद्यता
वाई-फ़ाई घटक में भेद्यता किसी हमलावर को वाई-फ़ाई सेवा को जानकारी प्रकट करने का कारण बना सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6629 | एंड्रॉइड-22667667 | उच्च | 5.1 और 5.0 | गूगल आंतरिक |
सिस्टम सर्वर में विशेषाधिकार भेद्यता का बढ़ना
सिस्टम सर्वर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन वाई-फाई सेवा से संबंधित जानकारी तक पहुंच प्राप्त करने में सक्षम हो सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित तरीके से " खतरनाक " अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6625 | एंड्रॉइड-23936840 | मध्यम | 6.0 | गूगल आंतरिक |
SystemUI में सूचना प्रकटीकरण भेद्यता
SystemUI में सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को स्क्रीनशॉट तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित तरीके से " खतरनाक " अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6630 | एंड्रॉइड-19121797 | मध्यम | 5.0, 5.1, और 6.0 | 22 जनवरी 2015 |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तरों की समीक्षा करेगा जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
LMY48Z या उसके बाद का संस्करण और 1 दिसंबर 2015 या उसके बाद के सुरक्षा पैच स्तर के साथ Android 6.0 इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2015-12-01]
संशोधन
- 07 दिसंबर, 2015: मूल रूप से प्रकाशित
- 09 दिसंबर, 2015: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
- 22 दिसंबर, 2015: अभिस्वीकृति अनुभाग में गुम क्रेडिट जोड़ा गया।
- मार्च 07, 2016: अभिस्वीकृति अनुभाग में गुम क्रेडिट जोड़ा गया।