नेक्सस सुरक्षा बुलेटिन - मार्च 2016

07 मार्च 2016 को प्रकाशित | 08 मार्च 2016 को अद्यतन किया गया

हमने अपनी एंड्रॉइड सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के हिस्से के रूप में ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। LMY49H या उसके बाद का संस्करण और 01 मार्च, 2016 या उसके बाद के सुरक्षा पैच स्तर के साथ Android M इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 1 फरवरी 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Verify Apps और SafetyNet के साथ दुरुपयोग की सक्रिय रूप से निगरानी कर रही है जो इंस्टॉल होने वाले संभावित हानिकारक एप्लिकेशन के बारे में चेतावनी देगी। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, Verify Apps डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित ऐप्स विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की स्थापना को पहचानने और अवरुद्ध करने का प्रयास करता है। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं तक नहीं पहुंचाते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-0815
  • जनगणना एसए के एनेस्टिस बेचत्सौडिस ( @anestisb ): CVE-2016-0816, CVE-2016-0824
  • Android सुरक्षा से चाड ब्रुबेकर: CVE-2016-0818
  • Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-0820
  • मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और Qihoo 360 से C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-0826
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • स्कॉट बाउर ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • ट्रेंड माइक्रो इंक. के विश वू ( @wish_wu ): CVE-2016-0819
  • हुआवेई के योंगझेंग वू और टीयान ली: सीवीई-2016-0831
  • सिंगापुर प्रबंधन विश्वविद्यालय के सु मोन क्यूवे और यिंगजीउ ली: सीवीई-2016-0831
  • Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-0821

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-03-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम समस्या को संबोधित करने वाले AOSP परिवर्तन को बग आईडी से लिंक करेंगे। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0815 एंड्रॉइड-26365349 गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक
सीवीई-2016-0816 एंड्रॉइड-25928803 गंभीर 6.0, 6.0.1 गूगल आंतरिक

libvpx में रिमोट कोड निष्पादन कमजोरियाँ

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मुद्दों को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि उनका उपयोग मीडियासर्वर सेवा के संदर्भ में दूरस्थ कोड निष्पादन के लिए किया जा सकता है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-1621 एंड्रॉइड-23452792 [2] [3] गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0 गूगल आंतरिक

कॉन्स्क्रिप्ट में विशेषाधिकार का उन्नयन

कॉन्स्क्रिप्ट में एक भेद्यता एक मध्यवर्ती प्रमाणपत्र प्राधिकरण (सीए) द्वारा जारी किए गए एक विशिष्ट प्रकार के अमान्य प्रमाणपत्र पर गलत तरीके से भरोसा करने की अनुमति दे सकती है। यह बीच-बीच में आदमी के हमले को सक्षम कर सकता है। विशेषाधिकार में वृद्धि और दूरस्थ मनमाने कोड निष्पादन की संभावना के कारण इस मुद्दे को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0818 एंड्रॉइड-26232830 [2] गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, और डिवाइस को केवल ऑपरेटिंग सिस्टम को फिर से फ्लैश करके ही ठीक किया जा सकता है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0819 एंड्रॉइड-25364034* गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 अक्टूबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियाटेक वाई-फाई कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक वाई-फाई कर्नेल ड्राइवर में एक भेद्यता है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में विशेषाधिकार के उन्नयन और मनमाने कोड निष्पादन की संभावना के कारण इस मुद्दे को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0820 एंड्रॉइड-26267358* गंभीर 6.0.1 18 दिसंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल कीरिंग घटक में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल कीरिंग घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है और डिवाइस को संभावित रूप से केवल ऑपरेटिंग सिस्टम को फिर से फ्लैश करके ही ठीक किया जा सकता है। हालाँकि, Android संस्करण 5.0 और इसके बाद के संस्करण में, SELinux नियम तृतीय-पक्ष एप्लिकेशन को प्रभावित कोड तक पहुँचने से रोकता है।

नोट: संदर्भ के लिए, AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 4.1 , 3.18 , 3.14 , और 3.10

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0728 एंड्रॉइड-26636379 गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 जनवरी 2016

कर्नेल में शमन बाईपास भेद्यता

कर्नेल में शमन बाईपास भेद्यता प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता का दर्जा दिया गया है क्योंकि यह प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकता है।

नोट: इस समस्या का अद्यतन लिनक्स अपस्ट्रीम में स्थित है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0821 एंड्रॉइड-26186802 उच्च 6.0.1 गूगल आंतरिक

मीडियाटेक कनेक्टिविटी कर्नेल ड्राइवर में विशेषाधिकार का उन्नयन

मीडियाटेक कनेक्टिविटी कर्नेल ड्राइवर में विशेषाधिकार भेद्यता में वृद्धि हुई है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को महत्वपूर्ण दर्जा दिया जाएगा, लेकिन क्योंकि इसके लिए पहले conn_launcher सेवा से समझौता करना आवश्यक है, यह उच्च गंभीरता रेटिंग में डाउनग्रेड को उचित ठहराता है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0822 एंड्रॉइड-25873324* उच्च 6.0.1 24 नवंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल में सूचना प्रकटीकरण भेद्यता

कर्नेल में सूचना प्रकटीकरण भेद्यता प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता का दर्जा दिया गया है क्योंकि वे एक विशेषाधिकार प्राप्त प्रक्रिया में एएसएलआर जैसी शोषण शमन प्रौद्योगिकियों के स्थानीय बाईपास की अनुमति दे सकते हैं।

नोट: इस समस्या का समाधान लिनक्स अपस्ट्रीम में स्थित है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0823 एंड्रॉइड-25739721* उच्च 6.0.1 गूगल आंतरिक

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

libstagefright में सूचना प्रकटीकरण भेद्यता

लिबस्टेजफ़्राइट में सूचना प्रकटीकरण भेद्यता प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0824 एंड्रॉइड-25765591 उच्च 6.0, 6.0.1 18 नवंबर 2015

वाइडवाइन में सूचना प्रकटीकरण भेद्यता

वाइडवाइन ट्रस्टेड एप्लिकेशन में एक सूचना प्रकटीकरण भेद्यता ट्रस्टज़ोन सुरक्षित भंडारण में जानकारी तक पहुंचने के लिए कर्नेल संदर्भ में चलने वाले कोड की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार जैसी उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है।

सीवीई बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0825 एंड्रॉइड-20860039* उच्च 6.0.1 गूगल आंतरिक

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0826 एंड्रॉइड-26265403 [2] उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 दिसंबर 2015
सीवीई-2016-0827 एंड्रॉइड-26347509 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 दिसंबर 2015

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0828 एंड्रॉइड-26338113 उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 27 दिसंबर 2015
सीवीई-2016-0829 एंड्रॉइड-26338109 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 दिसंबर 2015

ब्लूटूथ में सेवा भेद्यता का दूरस्थ अस्वीकरण

ब्लूटूथ घटक में सेवा भेद्यता का एक दूरस्थ खंडन एक समीपस्थ हमलावर को प्रभावित डिवाइस तक पहुंच को अवरुद्ध करने की अनुमति दे सकता है। एक हमलावर ब्लूटूथ घटक में पहचाने गए ब्लूटूथ डिवाइसों के अतिप्रवाह का कारण बन सकता है, जिससे मेमोरी खराब हो जाती है और सेवा बंद हो जाती है। इसे उच्च गंभीरता का दर्जा दिया गया है क्योंकि इससे ब्लूटूथ सेवा को सेवा से वंचित कर दिया जाता है, जिसे संभवतः केवल डिवाइस के फ्लैश के साथ ही ठीक किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0830 एंड्रॉइड-26071376 उच्च 6.0, 6.0.1 गूगल आंतरिक

टेलीफोनी में सूचना प्रकटीकरण भेद्यता

टेलीफ़ोनी घटक में सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुँचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के अनुचित तरीके से डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0831 एंड्रॉइड-25778215 मध्यम 5.0.2, 5.1.1, 6.0, 6.0.1 16 नवंबर 2015

सेटअप विज़ार्ड में विशेषाधिकार भेद्यता का उन्नयन

सेटअप विज़ार्ड में एक भेद्यता डिवाइस तक भौतिक पहुंच रखने वाले हमलावर को डिवाइस सेटिंग्स तक पहुंच प्राप्त करने और मैन्युअल डिवाइस रीसेट करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग फ़ैक्टरी रीसेट सुरक्षा के आसपास अनुचित तरीके से काम करने के लिए किया जा सकता है।

सीवीई बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0832 एंड्रॉइड-25955042* मध्यम 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

* इस अद्यतन के लिए कोई स्रोत कोड पैच प्रदान नहीं किया गया है।

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

LMY49H या उसके बाद का संस्करण और 1 मार्च 2016 या उसके बाद के सुरक्षा पैच स्तर के साथ Android 6.0 इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-03-01]

संशोधन

  • 07 मार्च 2016: बुलेटिन प्रकाशित.
  • मार्च 08, 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।