07 दिसंबर 2015 को प्रकाशित | 7 मार्च 2016 को अपडेट किया गया
हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 1 दिसंबर, 2015 के सुरक्षा पैच स्तर के साथ LMY48Z या बाद के संस्करण और Android 6.0 बनाता है या बाद में इन मुद्दों का समाधान करता है। अधिक विवरण के लिए सामान्य प्रश्न और उत्तर अनुभाग देखें।
पार्टनर को इन मुद्दों के बारे में 2 नवंबर, 2015 या इससे पहले के बारे में सूचित किया गया था और अपडेट प्रदान किए गए थे। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।
इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
न्यूनीकरण
यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम, Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल होने के बारे में चेतावनी देगा। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , सीवीई-2015-6634
- कीनटीम के फ्लैंकर ( @flanker_hqd ) ( @K33nTeam ): CVE-2015-6620
- Qihoo 360 Technology Co.Ltd के गुआंग गोंग (龚广) ( @oldfresher , higongguang@gmail.com) : CVE-2015-6626
- एम्बरमित्र लिमिटेड के मार्क कार्टर ( @hanpingchinese ): सीवीई-2015-6630
- माइकल बेडनार्स्की ( https://github.com/michalbednarski ): सीवीई-2015-6621
- Google प्रोजेक्ट ज़ीरो की नताली सिल्वानोविच: CVE-2015-6616
- ट्रेंड माइक्रो के पीटर पाई: सीवीई-2015-6616, सीवीई-2015-6628
- किडन हे ( @flanker_hqd ) और कीनटीम के मार्को ग्रासी ( @marcograss ) ( @K33nTeam ) : CVE-2015-6622
- त्ज़ु-यिन (नीना) ताई: CVE-2015-6627
- Fundación डॉ. मैनुअल Sadosky, ब्यूनस आयर्स, अर्जेंटीना में Programa STIC के जोकिन रिनाडो ( @xeroxnir ): CVE-2015-6631
- Baidu एक्स-टीम के वांगटाओ (नियोबाइट): CVE-2015-6626
सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2015-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित बग, गंभीरता, अद्यतन संस्करण और रिपोर्ट की गई तिथि है। उपलब्ध होने पर, हम AOSP परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
Mediaserver में रिमोट कोड निष्पादन भेद्यता
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6616 | एंड्रॉइड-24630158 | नाजुक | 6.0 और नीचे | Google आंतरिक |
| एंड्रॉइड-23882800 | नाजुक | 6.0 और नीचे | Google आंतरिक | |
| एंड्रॉइड-17769851 | नाजुक | 5.1 और नीचे | Google आंतरिक | |
| एंड्रॉइड-24441553 | नाजुक | 6.0 और नीचे | सितम्बर 22, 2015 | |
| एंड्रॉइड-24157524 | नाजुक | 6.0 | सितम्बर 08, 2015 |
स्की में रिमोट कोड निष्पादन भेद्यता
विशेष रूप से तैयार की गई मीडिया फ़ाइल को संसाधित करते समय स्कीया घटक में एक भेद्यता का लाभ उठाया जा सकता है, जिससे एक विशेषाधिकार प्राप्त प्रक्रिया में स्मृति भ्रष्टाचार और रिमोट कोड निष्पादन हो सकता है। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई हमले विधियों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6617 | एंड्रॉइड-23648740 | नाजुक | 6.0 और नीचे | गूगल आंतरिक |
कर्नेल में विशेषाधिकार का उन्नयन
सिस्टम कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रूट संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है और डिवाइस को केवल ऑपरेटिंग सिस्टम को फिर से फ्लैश करके ही मरम्मत की जा सकती है।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6619 | एंड्रॉइड-23520714 | नाजुक | 6.0 और नीचे | जून 7, 2015 |
प्रदर्शन चालक में रिमोट कोड निष्पादन भेद्यता
डिस्प्ले ड्राइवरों में कमजोरियां हैं, जो मीडिया फ़ाइल को संसाधित करते समय, मीडिया सर्वर द्वारा लोड किए गए उपयोगकर्ता मोड ड्राइवर के संदर्भ में स्मृति भ्रष्टाचार और संभावित मनमानी कोड निष्पादन का कारण बन सकती हैं। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई हमले विधियों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6633 | एंड्रॉइड-23987307* | नाजुक | 6.0 और नीचे | Google आंतरिक |
| सीवीई-2015-6634 | एंड्रॉइड-24163261 [ 2 ] [ 3 ] [ 4 ] | नाजुक | 5.1 और नीचे | Google आंतरिक |
*इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता
एंड्रॉइड के ब्लूटूथ घटक में एक भेद्यता रिमोट कोड निष्पादन की अनुमति दे सकती है। हालाँकि ऐसा होने से पहले कई मैनुअल चरणों की आवश्यकता होती है। ऐसा करने के लिए व्यक्तिगत क्षेत्र नेटवर्क (पैन) प्रोफ़ाइल सक्षम होने के बाद (उदाहरण के लिए ब्लूटूथ टेथरिंग का उपयोग करके) और डिवाइस को युग्मित करने के बाद, इसे सफलतापूर्वक युग्मित डिवाइस की आवश्यकता होगी। रिमोट कोड का निष्पादन ब्लूटूथ सेवा के विशेषाधिकार पर होगा। एक डिवाइस केवल स्थानीय निकटता में सफलतापूर्वक युग्मित डिवाइस से इस समस्या के लिए असुरक्षित है।
इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि एक हमलावर केवल कई मैनुअल कदम उठाए जाने के बाद और स्थानीय रूप से समीपवर्ती हमलावर से, जिसे पहले किसी डिवाइस को पेयर करने की अनुमति दी गई थी, मनमाने कोड को दूरस्थ रूप से निष्पादित कर सकता है।
| सीवीई | बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6618 | एंड्रॉइड-24595992* | उच्च | 4.4, 5.0, और 5.1 | सितम्बर 28, 2015 |
*इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
libstagefright में विशेषाधिकार कमजोरियों का उन्नयन
libstagefright में कई कमजोरियां हैं जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती हैं। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6620 | एंड्रॉइड-24123723 | उच्च | 6.0 और नीचे | सितम्बर 10, 2015 |
| एंड्रॉइड-24445127 | उच्च | 6.0 और नीचे | सितम्बर 2, 2015 |
सिस्टमयूआई में विशेषाधिकार भेद्यता का उन्नयन
क्लॉक एप्लिकेशन का उपयोग करते हुए अलार्म सेट करते समय, सिस्टमयूआई घटक में एक भेद्यता किसी एप्लिकेशन को उच्च विशेषाधिकार स्तर पर कार्य निष्पादित करने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6621 | एंड्रॉइड-23909438 | उच्च | 5.0, 5.1, और 6.0 | सितम्बर 7, 2015 |
नेटिव फ्रेमवर्क लाइब्रेरी में सूचना प्रकटीकरण भेद्यता
एंड्रॉइड नेटिव फ्रेमवर्क लाइब्रेरी में एक सूचना प्रकटीकरण भेद्यता प्लेटफॉर्म का फायदा उठाने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6622 | एंड्रॉइड-23905002 | उच्च | 6.0 और नीचे | सितम्बर 7, 2015 |
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6623 | एंड्रॉइड-24872703 | उच्च | 6.0 | Google आंतरिक |
सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन
सिस्टम सर्वर घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सेवा संबंधी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6624 | एंड्रॉइड-23999740 | उच्च | 6.0 | गूगल आंतरिक |
libstagefright में सूचना प्रकटीकरण भेद्यताएं
लिबस्टेजफ्रेट में सूचना प्रकटीकरण कमजोरियां हैं कि मीडियासर्वर के साथ संचार के दौरान, मंच का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकता है। इन मुद्दों को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6632 | एंड्रॉइड-24346430 | उच्च | 6.0 और नीचे | Google आंतरिक |
| सीवीई-2015-6626 | एंड्रॉइड-24310423 | उच्च | 6.0 और नीचे | सितम्बर 2, 2015 |
| सीवीई-2015-6631 | एंड्रॉइड-24623447 | उच्च | 6.0 और नीचे | अगस्त 21, 2015 |
ऑडियो में सूचना प्रकटीकरण भेद्यता
ऑडियो फ़ाइल प्रसंस्करण के दौरान ऑडियो घटक में एक भेद्यता का फायदा उठाया जा सकता है। यह भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, सूचना प्रकटीकरण का कारण बनने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6627 | एंड्रॉइड-24211743 | उच्च | 6.0 और नीचे | Google आंतरिक |
मीडिया ढाँचे में सूचना प्रकटीकरण सुभेद्यता
मीडिया फ्रेमवर्क में एक सूचना प्रकटीकरण भेद्यता है कि मीडियासर्वर के साथ संचार के दौरान, मंच का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6628 | एंड्रॉइड-24074485 | उच्च | 6.0 और नीचे | सितम्बर 8, 2015 |
वाई-फाई में सूचना प्रकटीकरण भेद्यता
वाई-फाई घटक में एक भेद्यता एक हमलावर को वाई-फाई सेवा को जानकारी का खुलासा करने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6629 | एंड्रॉइड-22667667 | उच्च | 5.1 और 5.0 | Google आंतरिक |
सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन
सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को वाई-फाई सेवा से संबंधित जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6625 | एंड्रॉइड-23936840 | संतुलित | 6.0 | Google आंतरिक |
SystemUI में सूचना प्रकटीकरण सुभेद्यता
सिस्टमयूआई में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को स्क्रीनशॉट तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग (बग) | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-6630 | एंड्रॉइड-19121797 | संतुलित | 5.0, 5.1, और 6.0 | जनवरी 22, 2015 |
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करेगा जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
1 दिसंबर, 2015 के सुरक्षा पैच स्तर के साथ LMY48Z या बाद के संस्करण और Android 6.0 बनाता है या बाद में इन मुद्दों का समाधान करता है। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2015-12-01]
संशोधन
- 07 दिसंबर, 2015: मूल रूप से प्रकाशित
- 09 दिसंबर, 2015: एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- 22 दिसंबर, 2015: पावती अनुभाग में लापता क्रेडिट जोड़ा गया।
- 07 मार्च, 2016: पावती अनुभाग में लापता क्रेडिट जोड़ा गया।