04 अप्रैल 2016 को प्रकाशित | 19 दिसंबर 2016 को अपडेट किया गया
हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 02 अप्रैल, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें)।
भागीदारों को 16 मार्च, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।
इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
Android सुरक्षा सलाहकार 2016-03-18 ने पहले रूटिंग एप्लिकेशन द्वारा CVE-2015-1805 के उपयोग पर चर्चा की थी। इस अद्यतन में CVE-2015-1805 का समाधान किया गया है। सक्रिय ग्राहक शोषण या अन्य नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं मिली है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के बारे में अधिक जानकारी के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
न्यूनीकरण
यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो उपयोगकर्ता को संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल किए जाने के बारे में चेतावनी देगी। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।
स्वीकृतियाँ
Android सुरक्षा टीम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहती है:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- सेंसस एसए के एनेस्टिस बेच्सौडिस ( @anestisb ): सीवीई-2016-0842, सीवीई-2016-0836, सीवीई-2016-0835
- Google टेलीकॉम टीम के ब्रैड एबिंगर और सैंटोस कॉर्डन: CVE-2016-0847
- ऑपरेटिंग सिस्टम और कंप्यूटर नेटवर्क संस्थान के डोमिनिक शूरमन, टीयू ब्राउनश्वेग: सीवीई-2016-2425
- गेंगजिया चेन ( @ चेंगजिया 4574 ), पीजेएफ , जियानकियांग झाओ ( @jianqiangzhao ) IceSword लैब, किहू 360: CVE-2016-0844
- इकोले पॉलिटेक्निक फ़ेडेरेल डी लॉज़ेन के जॉर्ज पिस्कस : CVE-2016-2426
- Qihoo 360 Technology Co.Ltd के गुआंग गोंग (龚广) ( @oldfresher ): CVE-2016-2412, CVE-2016-2416
- Google प्रोजेक्ट ज़ीरो के जेम्स फ़ोरशॉ: CVE-2016-2417, CVE-2016-0846
- जियानकियांग झाओ(@ jianqiangzhao ), pjf , और गेंगजिया चेन ( @chengjia4574 ) IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- जियानकियांग झाओ ( @jianqiangzhao ) और IceSword लैब के pjf, Qihoo 360: CVE-2016-2409
- वर्टू कॉर्पोरेशन लिमिटेड की नैन्सी वांग: CVE-2016-0837
- नसीम ज़मीर : सीवीई-2016-2409
- क्वालकॉम उत्पाद सुरक्षा पहल के निको गोल्डे ( @iamnion ): CVE-2016-2420, CVE-2016-0849
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- रिचर्ड शुपक: सीवीई-2016-2415
- MWR लैब्स का रोमेन ट्रौवे : CVE-2016-0850
- स्टुअर्ट हेंडरसन: सीवीई-2016-2422
- Android सुरक्षा के विश्वथ मोहन: CVE-2016-2424
- अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-2414
- ट्रेंड माइक्रो इंक के विश वू ( @wish_wu ): CVE-2016-0843
- इंडियाना यूनिवर्सिटी ब्लूमिंगटन के योनजून ली और जिओफेंग वांग , पेकिंग यूनिवर्सिटी के टोंगक्सिन ली और सिन्हुई हान : सीवीई-2016-0848
Android सुरक्षा टीम C0RE-2015-1805 में उनके योगदान के लिए युआन-त्सुंग लो , वेन्के डू , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग और ज़िम्पेरियम को भी धन्यवाद देती है।
सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में 2016-04-02 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता का विवरण है। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस AOSP कमिट को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया था। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
डीएचसीपीसीडी में रिमोट कोड निष्पादन भेद्यता
डायनेमिक होस्ट कॉन्फ़िगरेशन प्रोटोकॉल सेवा में एक भेद्यता एक हमलावर को स्मृति भ्रष्टाचार का कारण बनने में सक्षम कर सकती है, जिससे रिमोट कोड निष्पादन हो सकता है। डीएचसीपी क्लाइंट के संदर्भ में रिमोट कोड के निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। डीएचसीपी सेवा के पास उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।
सीवीई | AOSP लिंक के साथ कीड़े | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2014-6060 | एंड्रॉइड-15268738 | नाजुक | 4.4.4 | 30 जुलाई 2014 |
सीवीई-2014-6060 | एंड्रॉइड-16677003 | नाजुक | 4.4.4 | 30 जुलाई 2014 |
सीवीई-2016-1503 | एंड्रॉइड-26461634 | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 4, 2016 |
मीडिया कोडेक में रिमोट कोड निष्पादन भेद्यता
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर द्वारा उपयोग किए जाने वाले मीडिया कोडेक में भेद्यता एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती है।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0834 | एंड्रॉइड-26220548* | नाजुक | 6.0, 6.0.1 | दिसंबर 16, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
Mediaserver में रिमोट कोड निष्पादन भेद्यता
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
सीवीई | AOSP लिंक के साथ कीड़े | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0835 | एंड्रॉइड-26070014 [ 2 ] | नाजुक | 6.0, 6.0.1 | दिसम्बर 6, 2015 |
सीवीई-2016-0836 | एंड्रॉइड-25812590 | नाजुक | 6.0, 6.0.1 | नवम्बर 19, 2015 |
सीवीई-2016-0837 | एंड्रॉइड-27208621 | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 11, 2016 |
सीवीई-2016-0838 | एंड्रॉइड-26366256 [ 2 ] | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
सीवीई-2016-0839 | एंड्रॉइड-25753245 | नाजुक | 6.0, 6.0.1 | Google आंतरिक |
सीवीई-2016-0840 | एंड्रॉइड-26399350 | नाजुक | 6.0, 6.0.1 | Google आंतरिक |
सीवीई-2016-0841 | एंड्रॉइड-26040840 | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
libstagefright में रिमोट कोड निष्पादन भेद्यता
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, libstagefright में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0842 | एंड्रॉइड-25818142 | नाजुक | 6.0, 6.0.1 | नवम्बर 23, 2015 |
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी। इस समस्या का वर्णन Android सुरक्षा सलाहकार 2016-03-18 में किया गया था।
सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2015-1805 | एंड्रॉइड-27275324* | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 19, 2016 |
* AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 3.14 , 3.10 , और 3.4 ।
क्वालकॉम प्रदर्शन मॉड्यूल में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम से एआरएम प्रोसेसर के लिए प्रदर्शन इवेंट मैनेजर घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।
सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0843 | एंड्रॉइड-25801197* | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | नवम्बर 19, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम आरएफ घटक में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम आरएफ ड्राइवर में एक भेद्यता है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0844 | एंड्रॉइड-26324307 * | नाजुक | 6.0, 6.0.1 | दिसंबर 25, 2015 |
* इस समस्या के लिए एक अतिरिक्त पैच लिनक्स अपस्ट्रीम में स्थित है।
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन
सामान्य कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2014-9322 | एंड्रॉइड-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | नाजुक | 6.0, 6.0.1 | दिसंबर 25, 2015 |
IMemory नेटिव इंटरफ़ेस में विशेषाधिकार भेद्यता का उन्नयन
IMemory नेटिव इंटरफ़ेस में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0846 | एंड्रॉइड-26877992 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 जनवरी 2016 |
दूरसंचार घटक में विशेषाधिकार भेद्यता का उन्नयन
टेलीकॉम कंपोनेंट में विशेषाधिकार भेद्यता का उन्नयन एक हमलावर को किसी भी मनमानी संख्या से कॉल आने के लिए सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0847 | एंड्रॉइड-26864502 [ 2 ] | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
डाउनलोड प्रबंधक में विशेषाधिकार भेद्यता का उन्नयन
डाउनलोड प्रबंधक में विशेषाधिकार भेद्यता का उन्नयन एक हमलावर को निजी भंडारण में अनधिकृत फ़ाइलों तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0848 | एंड्रॉइड-26211054 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | दिसंबर 14, 2015 |
पुनर्प्राप्ति प्रक्रिया में विशेषाधिकार भेद्यता का उन्नयन
पुनर्प्राप्ति प्रक्रिया में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0849 | एंड्रॉइड-26960931 | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 3, 2016 |
ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन
ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन एक अविश्वसनीय डिवाइस को प्रारंभिक युग्मन प्रक्रिया के दौरान फोन के साथ युग्मित करने में सक्षम कर सकता है। इससे डिवाइस संसाधनों की अनधिकृत पहुंच हो सकती है, जैसे कि इंटरनेट कनेक्शन। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है जो अविश्वसनीय उपकरणों के लिए सुलभ नहीं हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0850 | एंड्रॉइड-26551752 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 13, 2016 |
टेक्सास इंस्ट्रूमेंट्स हैप्टिक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
टेक्सास इंस्ट्रूमेंट्स हैप्टिक कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का एक उन्नयन है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सकती है, इसके बजाय इसे उच्च गंभीरता के रूप में रेट किया गया है।
सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2409 | एंड्रॉइड-25981545* | उच्च | 6.0, 6.0.1 | दिसंबर 25, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वीडियो कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वीडियो कर्नेल ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमानी कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर एक कर्नेल कोड निष्पादन भेद्यता को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना पड़ता है जो ड्राइवर को कॉल कर सकती है, इसके बजाय इसे उच्च गंभीरता के रूप में रेट किया गया है।
सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2410 | एंड्रॉइड-26291677* | उच्च | 6.0, 6.0.1 | दिसंबर 21, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम पावर प्रबंधन घटक में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम पावर मैनेजमेंट कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमानी कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले डिवाइस से समझौता करने और रूट को ऊंचाई देने की आवश्यकता होती है, इसलिए इसे इसके बजाय उच्च गंभीरता के रूप में रेट किया जाता है।
सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2411 | एंड्रॉइड-26866053* | उच्च | 6.0, 6.0.1 | जनवरी 28, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
System_server में विशेषाधिकार भेद्यता का उन्नयन
System_server में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2412 | एंड्रॉइड-26593930 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 15, 2016 |
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
मीडियासर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2413 | एंड्रॉइड-26403627 | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 5, 2016 |
मिनिकिन में सेवा भेद्यता से इनकार
मिनिकिन लाइब्रेरी में सेवा भेद्यता से इनकार एक स्थानीय हमलावर को एक प्रभावित डिवाइस तक पहुंच को अस्थायी रूप से अवरुद्ध करने की अनुमति दे सकता है। एक हमलावर एक अविश्वसनीय फ़ॉन्ट को लोड करने का कारण बन सकता है और मिनिकिन घटक में अतिप्रवाह का कारण बन सकता है, जिससे दुर्घटना हो सकती है। इसे उच्च गंभीरता के रूप में दर्जा दिया गया है क्योंकि सेवा से इनकार करने से निरंतर रिबूट लूप होगा।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2414 | एंड्रॉइड-26413177 [ 2 ] | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | नवंबर 3, 2015 |
Exchange ActiveSync में सूचना प्रकटीकरण सुभेद्यता
एक्सचेंज एक्टिवसिंक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि यह संरक्षित डेटा तक दूरस्थ पहुंच की अनुमति देता है।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2415 | एंड्रॉइड-26488455 | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 जनवरी 2016 |
Mediaserver में सूचना प्रकटीकरण भेद्यता
Mediaserver में एक सूचना प्रकटीकरण भेद्यता प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।
सीवीई | AOSP लिंक के साथ कीड़े | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2416 | एंड्रॉइड-27046057 [ 2 ] | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 5, 2016 |
सीवीई-2016-2417 | एंड्रॉइड-26914474 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 1, 2016 |
सीवीई-2016-2418 | एंड्रॉइड-26324358 | उच्च | 6.0, 6.0.1 | दिसंबर 24, 2015 |
सीवीई-2016-2419 | एंड्रॉइड-26323455 | उच्च | 6.0, 6.0.1 | दिसंबर 24, 2015 |
डीबगर घटक में विशेषाधिकार भेद्यता का उन्नयन
डीबगर घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमाना कोड निष्पादित करने में सक्षम कर सकता है जिससे स्थायी डिवाइस समझौता हो सकता है। नतीजतन, ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को संभवतः मरम्मत करने की आवश्यकता होगी। आम तौर पर इस तरह के एक कोड निष्पादन बग को क्रिटिकल के रूप में रेट किया जाएगा, लेकिन क्योंकि यह केवल एंड्रॉइड वर्जन 4.4.4 में सिस्टम से रूट तक विशेषाधिकार के उन्नयन को सक्षम बनाता है, इसे इसके बजाय मॉडरेट के रूप में रेट किया गया है। Android संस्करण 5.0 और इसके बाद के संस्करण में, SELinux नियम तृतीय-पक्ष एप्लिकेशन को प्रभावित कोड तक पहुंचने से रोकते हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2420 | एंड्रॉइड-26403620 [ 2 ] | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 5, 2016 |
सेटअप विज़ार्ड में विशेषाधिकार भेद्यता का उन्नयन
सेटअप विज़ार्ड में एक भेद्यता एक हमलावर को फ़ैक्टरी रीसेट सुरक्षा को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकती है। इसे मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि यह संभावित रूप से किसी डिवाइस को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की अनुमति देता है, जो एक हमलावर को सभी डेटा को मिटाते हुए डिवाइस को सफलतापूर्वक रीसेट करने में सक्षम बनाता है।
सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2421 | एंड्रॉइड-26154410* | संतुलित | 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी रिलीज़ में शामिल है।
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2422 | एंड्रॉइड-26324357 | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | दिसंबर 23, 2015 |
टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन
टेलीफोनी में एक भेद्यता एक हमलावर को फ़ैक्टरी रीसेट सुरक्षा को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकती है। इसे मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि यह संभावित रूप से किसी डिवाइस को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की अनुमति देता है, जो एक हमलावर को सभी डेटा को मिटाते हुए डिवाइस को सफलतापूर्वक रीसेट करने में सक्षम बनाता है।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2423 | एंड्रॉइड-26303187 | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
SyncStorageEngine में सेवा भेद्यता से इनकार
SyncStorageEngine में सेवा सुरक्षाछिद्र की अस्वीकृति एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को रीबूट लूप का कारण बनने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग स्थानीय अस्थायी रूप से सेवा से इनकार करने के लिए किया जा सकता है जिसे फ़ैक्टरी रीसेट के बावजूद संभवतः ठीक करने की आवश्यकता होगी।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2424 | एंड्रॉइड-26513719 | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
एओएसपी मेल में सूचना प्रकटीकरण भेद्यता
एओएसपी मेल में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग "खतरनाक" अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।
सीवीई | AOSP लिंक के साथ कीड़े | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2425 | एंड्रॉइड-26989185 | संतुलित | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 जनवरी 2016 |
सीवीई-2016-2425 | एंड्रॉइड-7154234* | संतुलित | 5.0.2 | 29 जनवरी 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी रिलीज़ में शामिल है।
फ्रेमवर्क में सूचना प्रकटीकरण सुभेद्यता
फ्रेमवर्क घटक में एक सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक अनुचित तरीके से पहुंचने के लिए किया जा सकता है।
सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2426 | एंड्रॉइड-26094635 | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | दिसम्बर 8, 2015 |
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
2 अप्रैल, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें)। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-04-02]
2. यह सुरक्षा पैच स्तर 2 अप्रैल 2016 क्यों है?
मासिक सुरक्षा अद्यतन के लिए सुरक्षा पैच स्तर सामान्य रूप से महीने के पहले पर सेट होता है। अप्रैल के लिए, 1 अप्रैल, 2016 का सुरक्षा पैच स्तर इंगित करता है कि CVE-2015-1805 के अपवाद के साथ इस बुलेटिन में वर्णित सभी मुद्दों का समाधान किया गया है, जैसा कि Android सुरक्षा सलाहकार 2016-03-18 में वर्णित है। 2 अप्रैल, 2016 का एक सुरक्षा पैच स्तर इंगित करता है कि इस बुलेटिन में वर्णित सभी मुद्दों, जिनमें CVE-2015-1805 शामिल है, जैसा कि Android सुरक्षा सलाहकार 2016-03-18 में वर्णित है, का समाधान कर दिया गया है।
संशोधन
- अप्रैल 04, 2016: बुलेटिन प्रकाशित।
- 06 अप्रैल, 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- 07 अप्रैल, 2016: अतिरिक्त एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- 11 जुलाई 2016: सीवीई-2016-2427 का अद्यतन विवरण।
- अगस्त 01, 2016: सीवीई-2016-2427 . का अद्यतन विवरण
- 19 दिसंबर, 2016: CVE-2016-2427 को हटाने के लिए अपडेट किया गया, जिसे वापस कर दिया गया था।