पब्लिश किया गया 07 दिसंबर, 2015 | अपडेट किया गया 07 मार्च, 2016
हमने Android सुरक्षा बुलेटिन के हर महीने रिलीज़ होने वाले अपडेट के तहत, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. यह अपडेट, ओवर-द-एयर (ओटीए) के ज़रिए मिलेगा. Nexus फ़र्मवेयर इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. LMY48Z या इसके बाद के वर्शन और Android 6.0 के साथ 1 दिसंबर, 2015 या इसके बाद के सिक्योरिटी पैच लेवल वाले वर्शन में, ये समस्याएं नहीं होतीं. ज़्यादा जानकारी के लिए, अक्सर पूछे जाने वाले सवाल और उनके जवाब सेक्शन देखें.
पार्टनर को इन समस्याओं के बारे में 2 नवंबर, 2015 या उससे पहले सूचना दी गई थी और उन्हें अपडेट भी दिए गए थे. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए गए हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें इन नई समस्याओं के बारे में, ग्राहकों के शोषण की कोई शिकायत नहीं मिली है. Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा उपायों और SafetyNet जैसी सेवा सुरक्षा के बारे में ज़्यादा जानने के लिए, कम करने के तरीके सेक्शन देखें. ये उपाय, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाते हैं. हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
जोखिम कम करने के तरीके
यहां Android सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उन उपायों के बारे में खास जानकारी दी गई है जिनकी मदद से, इस तरह के खतरों को कम किया जा सकता है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रख रही है. इससे, इंस्टॉल किए जाने वाले संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी मिलेगी. Google Play पर, डिवाइस को रूट करने वाले टूल उपलब्ध नहीं कराए जा सकते. Google Play के अलावा किसी अन्य सोर्स से ऐप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं को सुरक्षित रखने के लिए, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, उपयोगकर्ताओं को रूट करने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Verify ऐप्लिकेशन, ऐसे नुकसान पहुंचाने वाले ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करता है जो ऐक्सेस लेवल बढ़ाने की सुविधा का गलत इस्तेमाल करते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और ऐसे सभी ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, मीडिया को mediaserver जैसी प्रोसेस को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Google Chrome की सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग, और मार्टिन बारबेला: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633, CVE-2015-6634
- KeenTeam (@K33nTeam) के Flanker (@flanker_hqd): CVE-2015-6620
- Qihoo 360 Technology Co.Ltd के गुआंग गॉन्ग (龚广) (@oldfresher, higongguang@gmail.com): CVE-2015-6626
- EmberMitre Ltd के मार्क कार्टर (@hanpingchinese): CVE-2015-6630
- Michał Bednarski (https://github.com/michalbednarski): CVE-2015-6621
- Google Project Zero की नैटली सिल्वानोविच: CVE-2015-6616
- Trend Micro के पीटर पाई: CVE-2015-6616, CVE-2015-6628
- KeenTeam (@K33nTeam) के क़िदान हे (@flanker_hqd) और मार्को ग्रैसी (@marcograss): CVE-2015-6622
- त्ज़ु-यिन (नीना) ताई: CVE-2015-6627
- Joaquín Rinaudo (@xeroxnir), Programa STIC at Fundación Dr. Manuel Sadosky, Buenos Aires, Argentina: CVE-2015-6631
- Baidu X-Team के Wangtao (neobyte): CVE-2015-6626
सुरक्षा से जुड़े जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-12-2015 के पैच लेवल पर लागू होती हैं. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, उससे जुड़ी गड़बड़ी, गंभीरता, अपडेट किए गए वर्शन, और शिकायत करने की तारीख शामिल होती है. उपलब्ध होने पर, हम उस AOSP बदलाव को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से, AOSP के अन्य रेफ़रंस जुड़े होते हैं.
Mediaserver में, रिमोट कोड को लागू करने से जुड़ी सुरक्षा से जुड़ी समस्याएं
खास तौर पर तैयार की गई मीडिया फ़ाइल और डेटा को प्रोसेस करने के दौरान, मीडिया सर्वर में मौजूद कमजोरियों की वजह से, हैकर को मेमोरी को नुकसान पहुंचाने और रिमोट कोड प्रोग्राम चलाने का मौका मिल सकता है.
जिस फ़ंक्शन पर असर पड़ा है उसे ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट के ज़रिए उस फ़ंक्शन को ऐक्सेस किया जा सकता है. इनमें मल्टीमीडिया मैसेज (एमएमएस) और ब्राउज़र से मीडिया चलाने की सुविधा सबसे अहम है.
मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेटिंग दी गई है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | सबसे अहम | 6.0 और इससे पहले के वर्शन | Google आन्तरिक |
| ANDROID-23882800 | सबसे अहम | 6.0 और इससे पहले के वर्शन | Google आन्तरिक | |
| ANDROID-17769851 | सबसे अहम | 5.1 और इससे पहले के वर्शन | Google आन्तरिक | |
| ANDROID-24441553 | सबसे अहम | 6.0 और इससे पहले के वर्शन | 22 सितंबर, 2015 | |
| ANDROID-24157524 | सबसे अहम | 6.0 | 08 सितंबर, 2015 |
Skia में रिमोट कोड चलाने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
खास तौर पर तैयार की गई मीडिया फ़ाइल को प्रोसेस करते समय, Skia कॉम्पोनेंट में मौजूद किसी जोखिम का फ़ायदा उठाया जा सकता है. इससे, खास सुविधाओं वाली प्रोसेस में मेमोरी खराब हो सकती है और रिमोट कोड प्रोग्राम चलाया जा सकता है. इस समस्या को गंभीर माना गया है, क्योंकि मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से रिमोट कोड लागू होने की संभावना होती है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | सबसे अहम | 6.0 और इससे पहले के वर्शन | सिर्फ़ Google के लिए |
कर्नेल में प्रिविलेज एस्कलेशन
सिस्टम कर्नेल में, खास सुविधाओं के ऐक्सेस की जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को डिवाइस के रूट कॉन्टेक्स्ट में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, डिवाइस को सिर्फ़ ऑपरेटिंग सिस्टम को फिर से फ़्लैश करके ठीक किया जा सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | सबसे अहम | 6.0 और इससे पहले के वर्शन | 7 जून, 2015 |
डिसप्ले ड्राइवर में, रिमोट कोड लागू करने से जुड़ी जोखिम
डिसप्ले ड्राइवर में ऐसी कमजोरियां हैं जिनकी वजह से मीडिया फ़ाइल को प्रोसेस करते समय, मेमोरी खराब हो सकती है. साथ ही, mediaserver से लोड किए गए उपयोगकर्ता मोड ड्राइवर के संदर्भ में, मनमुताबिक कोड लागू हो सकता है. मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से रिमोट कोड लागू होने की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | सबसे अहम | 6.0 और इससे पहले के वर्शन | Google आन्तरिक |
| CVE-2015-6634 | ANDROID-24163261 [2] [3] [4] | सबसे अहम | 5.1 और इससे पहले के वर्शन | Google आन्तरिक |
*इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
ब्लूटूथ में रिमोट कोड चलाने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
Android के ब्लूटूथ कॉम्पोनेंट में मौजूद किसी जोखिम की वजह से, डिवाइस पर रिमोट कोड चलाया जा सकता है. हालांकि, ऐसा करने से पहले कई मैन्युअल चरण पूरे करने होंगे. ऐसा करने के लिए, आपको एक ऐसा डिवाइस चाहिए जिसे पहले से ही जोड़ा गया हो. इसके लिए, आपको पर्सनल एरिया नेटवर्क (पीएन) प्रोफ़ाइल चालू करनी होगी. उदाहरण के लिए, ब्लूटूथ टेदरिंग का इस्तेमाल करके. रिमोट कोड को ब्लूटूथ सेवा के पास भेजा जाएगा. किसी डिवाइस पर यह समस्या सिर्फ़ तब आ सकती है, जब वह किसी ऐसे डिवाइस के आस-पास हो जिससे वह पहले से जुड़ा हो.
इस समस्या को गंभीर समस्या के तौर पर रेटिंग दी गई है, क्योंकि हमलावर मैन्युअल तरीके से कई चरणों को पूरा करने के बाद ही, डिवाइस पर मनमुताबिक कोड को रिमोट से चला सकता है. साथ ही, हमलावर को डिवाइस को जोड़ने की अनुमति पहले ही दी गई हो.
| CVE | गड़बड़ी(गड़बड़ियां) | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | ज़्यादा | 4.4, 5.0, और 5.1 | 28 सितंबर, 2015 |
*इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
libstagefright में प्रिविलेज एस्कलेशन की समस्याएं
libstagefright में कई सुरक्षा से जुड़ी कमजोरियां हैं. इनकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, मीडिया सर्वर सेवा के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 10 सितंबर, 2015 |
| ANDROID-24445127 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 2 सितंबर, 2015 |
SystemUI में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
क्लॉक ऐप्लिकेशन का इस्तेमाल करके अलार्म सेट करते समय, SystemUI कॉम्पोनेंट में मौजूद किसी कमज़ोरी की वजह से, ऐप्लिकेशन को ज़्यादा अनुमति वाले लेवल पर कोई टास्क पूरा करने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेटिंग दी गई है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | ज़्यादा | 5.0, 5.1, और 6.0 | 7 सितंबर, 2015 |
नेटिव फ़्रेमवर्क लाइब्रेरी में, जानकारी ज़ाहिर करने से जुड़ी समस्या
Android नेटिव फ़्रेमवर्क लाइब्रेरी में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, सुरक्षा से जुड़े उपायों को बायपास किया जा सकता है. इससे हमलावरों के लिए, प्लैटफ़ॉर्म का गलत इस्तेमाल करना मुश्किल हो जाता है. इन समस्याओं को गंभीर समस्याओं के तौर पर रेट किया गया है, क्योंकि इनका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए भी किया जा सकता है. जैसे, Signature या SignatureOrSystem अनुमतियों के विशेषाधिकार. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 7 सितंबर, 2015 |
वाई-फ़ाई में प्रिविलेज एस्केलेशन की समस्या
वाई-फ़ाई में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला लोकल ऐप्लिकेशन, खास सुविधाओं वाली सिस्टम सेवा के संदर्भ में, मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार, जो तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं किए जा सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | ज़्यादा | 6.0 | Google आन्तरिक |
सिस्टम सर्वर में खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल
सिस्टम सर्वर कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को सेवा से जुड़ी जानकारी का ऐक्सेस मिल सकता है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के फ़ायदे. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | ज़्यादा | 6.0 | सिर्फ़ Google के लिए |
libstagefright में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंकाएं
libstagefright में, जानकारी को सार्वजनिक करने से जुड़ी समस्याएं हैं. इनकी वजह से, मीडिया सर्वर के साथ कम्यूनिकेशन के दौरान, सुरक्षा उपायों को बायपास किया जा सकता है. इससे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को मुश्किल हो सकती है. इन समस्याओं को 'गंभीर' के तौर पर रेटिंग दी गई है, क्योंकि इनका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए भी किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के फ़ायदे. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | ज़्यादा | 6.0 और इससे पहले के वर्शन | Google आन्तरिक |
| CVE-2015-6626 | ANDROID-24310423 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 2 सितंबर, 2015 |
| CVE-2015-6631 | ANDROID-24623447 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 21 अगस्त, 2015 |
ऑडियो में जानकारी ज़ाहिर होने की समस्या
ऑडियो फ़ाइल प्रोसेस करने के दौरान, ऑडियो कॉम्पोनेंट की किसी कमज़ोरी का फ़ायदा उठाया जा सकता है. इस जोखिम की वजह से, किसी खास तौर पर तैयार की गई फ़ाइल को प्रोसेस करने के दौरान, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को जानकारी ज़ाहिर करने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा अनुमतियां पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियां. ये अनुमतियां तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | ज़्यादा | 6.0 और इससे पहले के वर्शन | Google आन्तरिक |
मीडिया फ़्रेमवर्क में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
Media Framework में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इससे, मीडिया सर्वर के साथ कम्यूनिकेशन के दौरान, सुरक्षा उपायों को बायपास किया जा सकता है. इससे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को मुश्किल हो सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए भी किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के फ़ायदे. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | ज़्यादा | 6.0 और इससे पहले के वर्शन | 8 सितंबर, 2015 |
वाई-फ़ाई में जानकारी ज़ाहिर करने से जुड़ी जोखिम
वाई-फ़ाई कॉम्पोनेंट में मौजूद किसी कमज़ोरी की वजह से, हमलावर वाई-फ़ाई सेवा से जानकारी हासिल कर सकता है. इस समस्या को गंभीरता के हिसाब से 'ज़्यादा' के तौर पर रेटिंग दी गई है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | ज़्यादा | 5.1 और 5.0 | Google आन्तरिक |
सिस्टम सर्वर में खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल
सिस्टम सर्वर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को वाई-फ़ाई सेवा से जुड़ी जानकारी का ऐक्सेस मिल सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल गलत तरीके से “खतरनाक” अनुमतियां पाने के लिए किया जा सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | काफ़ी हद तक ठीक है | 6.0 | Google आन्तरिक |
SystemUI में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
SystemUI में जानकारी ज़ाहिर करने की समस्या की वजह से, स्थानीय तौर पर मौजूद नुकसान पहुंचाने वाले ऐप्लिकेशन को स्क्रीनशॉट का ऐक्सेस मिल सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल गलत तरीके से “खतरनाक” अनुमतियां पाने के लिए किया जा सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | काफ़ी हद तक ठीक है | 5.0, 5.1, और 6.0 | 22 जनवरी, 2015 |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
LMY48Z या इसके बाद के वर्शन और Android 6.0 के साथ 1 दिसंबर, 2015 या इसके बाद के सिक्योरिटी पैच लेवल वाले वर्शन में, ये समस्याएं नहीं होतीं. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, Nexus दस्तावेज़ देखें. डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2015-12-01]
संशोधन
- 07 दिसंबर, 2015: पहली बार पब्लिश किया गया
- 09 दिसंबर, 2015: AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.
- 22 दिसंबर, 2015: 'धन्यवाद' सेक्शन में छूटे हुए क्रेडिट को जोड़ा गया.
- 07 मार्च, 2016: 'धन्यवाद' सेक्शन में क्रेडिट जोड़ा गया.