Nexus सुरक्षा बुलेटिन - मार्च 2016

संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

07 मार्च 2016 को प्रकाशित | 08 मार्च 2016 को अपडेट किया गया

हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। LMY49H या बाद के संस्करण और Android M को 01 मार्च, 2016 के सुरक्षा पैच स्तर के साथ बनाता है या बाद में इन मुद्दों को संबोधित करता है। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें।

1 फरवरी, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

न्यूनीकरण

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम, Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल होने के बारे में चेतावनी देगा। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-0815
  • सेंसस एसए के एनेस्टिस बेच्सौडिस ( @anestisb ): सीवीई-2016-0816, सीवीई-2016-0824
  • Android सुरक्षा से चाड ब्रुबेकर: CVE-2016-0818
  • Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-0820
  • मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और Qihoo 360 से C0RE टीम के Xuxian जियांग: CVE-2016-0826
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • स्कॉट बाउर ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): सीवीई-2016-0822
  • ट्रेंड माइक्रो इंक के विश वू ( @wish_wu ): CVE-2016-0819
  • हुआवेई के योंगझेंग वू और तियान ली: सीवीई-2016-0831
  • सिंगापुर प्रबंधन विश्वविद्यालय के सु मोन क्यूवे और यिंगजिउ ली: सीवीई-2016-0831
  • Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-0821

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-03-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम AOSP परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।

सीवीई AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0815 एंड्रॉइड-26365349 नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक
सीवीई-2016-0816 एंड्रॉइड-25928803 नाजुक 6.0, 6.0.1 Google आंतरिक

libvpx . में रिमोट कोड निष्पादन भेद्यताएं

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मुद्दों को गंभीर गंभीरता के रूप में रेट किया गया है क्योंकि उनका उपयोग मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन के लिए किया जा सकता है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-1621 एंड्रॉइड-23452792 [2] [3] नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0 Google आंतरिक

Concrypt में विशेषाधिकार का उन्नयन

कॉन्क्रिप्ट में एक भेद्यता एक विशिष्ट प्रकार के अमान्य प्रमाणपत्र को अनुमति दे सकती है, जो एक मध्यवर्ती प्रमाणपत्र प्राधिकरण (CA) द्वारा जारी किया गया है, जिस पर गलत तरीके से भरोसा किया जा सकता है। यह एक मैन-इन-द-बीच हमले को सक्षम कर सकता है। विशेषाधिकार के उन्नयन और दूरस्थ मनमाने कोड निष्पादन की संभावना के कारण इस मुद्दे को गंभीर गंभीरता के रूप में दर्जा दिया गया है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0818 एंड्रॉइड-26232830 [2] नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और डिवाइस को केवल ऑपरेटिंग सिस्टम को फिर से फ्लैश करके ही ठीक किया जा सकता है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0819 एंड्रॉइड-25364034* नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अक्टूबर 29, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक वाई-फाई कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक वाई-फाई कर्नेल ड्राइवर में एक भेद्यता है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में विशेषाधिकार के उन्नयन और मनमाने कोड निष्पादन की संभावना के कारण इस मुद्दे को एक गंभीर गंभीरता के रूप में दर्जा दिया गया है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0820 एंड्रॉइड-26267358* नाजुक 6.0.1 दिसंबर 18, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल कीरिंग घटक में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल कीरिंग घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है और डिवाइस को संभावित रूप से केवल ऑपरेटिंग सिस्टम को फिर से फ्लैश करके ही ठीक किया जा सकता है। हालाँकि, Android संस्करण 5.0 और इसके बाद के संस्करण में, SELinux नियम तृतीय-पक्ष एप्लिकेशन को प्रभावित कोड तक पहुंचने से रोकता है।

नोट: संदर्भ के लिए, AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 4.1 , 3.18 , 3.14 , और 3.10

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0728 एंड्रॉइड-26636379 नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 जनवरी 2016

कर्नेल में न्यूनीकरण बाईपास सुभेद्यता

कर्नेल में एक शमन बायपास भेद्यता प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में दर्जा दिया गया है क्योंकि यह प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकता है।

नोट: इस समस्या के लिए अद्यतन Linux अपस्ट्रीम में स्थित है

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0821 एंड्रॉइड-26186802 उच्च 6.0.1 Google आंतरिक

मीडियाटेक कनेक्टिविटी कर्नेल ड्राइवर में विशेषाधिकार का उन्नयन

मीडियाटेक कनेक्टिविटी कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का एक उन्नयन है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को महत्वपूर्ण दर्जा दिया जाएगा, लेकिन क्योंकि इसके लिए पहले conn_launcher सेवा से समझौता करने की आवश्यकता होती है, यह उच्च गंभीरता रेटिंग के लिए डाउनग्रेड को सही ठहराता है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0822 एंड्रॉइड-25873324* उच्च 6.0.1 नवंबर 24, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल में सूचना प्रकटीकरण सुभेद्यता

कर्नेल में एक सूचना प्रकटीकरण भेद्यता प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में दर्जा दिया गया है क्योंकि वे एक विशेषाधिकार प्राप्त प्रक्रिया में ASLR जैसे शोषण शमन प्रौद्योगिकियों के स्थानीय बाईपास की अनुमति दे सकते हैं।

नोट: इस समस्या का समाधान लिनक्स अपस्ट्रीम में स्थित है

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0823 एंड्रॉइड-25739721* उच्च 6.0.1 Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

सूचना प्रकटीकरण libstagefright में सुभेद्यता

मंच का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए libstagefright में एक सूचना प्रकटीकरण भेद्यता सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0824 एंड्रॉइड-25765591 उच्च 6.0, 6.0.1 नवम्बर 18, 2015

वाइडवाइन में सूचना प्रकटीकरण भेद्यता

वाइडवाइन ट्रस्टेड एप्लिकेशन में एक सूचना प्रकटीकरण भेद्यता कर्नेल संदर्भ में चल रहे कोड को ट्रस्टज़ोन सुरक्षित भंडारण में जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार।

सीवीई बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0825 एंड्रॉइड-20860039* उच्च 6.0.1 Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन

मीडियासर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0826 एंड्रॉइड-26265403 [2] उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसंबर 17, 2015
सीवीई-2016-0827 एंड्रॉइड-26347509 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसम्बर 28, 2015

Mediaserver में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0828 एंड्रॉइड-26338113 उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 दिसम्बर 27, 2015
सीवीई-2016-0829 एंड्रॉइड-26338109 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसम्बर 27, 2015

ब्लूटूथ में सेवा भेद्यता का दूरस्थ इनकार

ब्लूटूथ घटक में सेवा भेद्यता का दूरस्थ इनकार एक समीपस्थ हमलावर को प्रभावित डिवाइस तक पहुंच को अवरुद्ध करने की अनुमति दे सकता है। एक हमलावर ब्लूटूथ घटक में पहचाने गए ब्लूटूथ डिवाइस के अतिप्रवाह का कारण बन सकता है, जिससे स्मृति भ्रष्टाचार और सेवा बंद हो जाती है। इसे उच्च गंभीरता के रूप में दर्जा दिया गया है क्योंकि यह ब्लूटूथ सेवा को सेवा से वंचित कर देता है, जिसे संभावित रूप से केवल डिवाइस के फ्लैश के साथ ठीक किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0830 एंड्रॉइड-26071376 उच्च 6.0, 6.0.1 Google आंतरिक

टेलीफोनी में सूचना प्रकटीकरण सुभेद्यता

टेलीफ़ोनी घटक में एक सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा को अनुचित तरीके से एक्सेस करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0831 एंड्रॉइड-25778215 संतुलित 5.0.2, 5.1.1, 6.0, 6.0.1 नवंबर 16, 2015

सेटअप विज़ार्ड में विशेषाधिकार भेद्यता का उन्नयन

सेटअप विज़ार्ड में एक भेद्यता एक हमलावर को सक्षम कर सकती है, जिसके पास डिवाइस की भौतिक पहुंच थी, डिवाइस सेटिंग्स तक पहुंच प्राप्त करने और मैन्युअल डिवाइस रीसेट करने के लिए। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग फ़ैक्टरी रीसेट सुरक्षा के आसपास अनुचित तरीके से काम करने के लिए किया जा सकता है।

सीवीई बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0832 एंड्रॉइड-25955042* संतुलित 5.1.1, 6.0, 6.0.1 Google आंतरिक

* इस अद्यतन के लिए कोई स्रोत कोड पैच प्रदान नहीं किया गया है।

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

1 मार्च, 2016 के सुरक्षा पैच स्तर के साथ LMY49H या बाद के संस्करण और Android 6.0 बनाता है या बाद में इन मुद्दों का समाधान करता है। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-03-01]

संशोधन

  • मार्च 07, 2016: बुलेटिन प्रकाशित।
  • मार्च 08, 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।