पब्लिश करने की तारीख: 04 अप्रैल, 2016 | अपडेट करने की तारीख: 19 दिसंबर, 2016
हमने Android सुरक्षा बुलेटिन के हर महीने रिलीज़ होने वाले अपडेट के तहत, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. यह अपडेट, ओवर-द-एयर (ओटीए) के ज़रिए मिलेगा. Nexus फ़र्मवेयर इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. 02 अप्रैल, 2016 या उसके बाद के सिक्योरिटी पैच लेवल, इन समस्याओं को ठीक करते हैं. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, Nexus दस्तावेज़ पढ़ें.
पार्टनर को 16 मार्च, 2016 या उससे पहले, बुलेटिन में बताई गई समस्याओं के बारे में सूचना दी गई थी. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
Android सुरक्षा सलाह 18-03-2016 में, पहले ही बताया गया था कि रूट करने वाले ऐप्लिकेशन ने CVE-2015-1805 का इस्तेमाल किया है. इस अपडेट में, CVE-2015-1805 को ठीक किया गया है. ग्राहकों का फ़ायदा उठाने या हाल ही में बताई गई अन्य समस्याओं का गलत इस्तेमाल करने की कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और SafetyNet जैसी सेवाओं के बारे में ज़्यादा जानने के लिए, कम करने के तरीके सेक्शन देखें. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
जोखिम कम करने के तरीके
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी समस्याओं को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रख रही है. इससे, उपयोगकर्ता को इंस्टॉल किए जाने वाले संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी दी जाएगी. Google Play पर, डिवाइस को रूट करने वाले टूल उपलब्ध नहीं कराए जा सकते. Google Play के अलावा किसी अन्य सोर्स से ऐप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं को सुरक्षित रखने के लिए, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, उपयोगकर्ताओं को रूट करने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा का गलत इस्तेमाल करते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और ऐसे सभी ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, मीडिया को mediaserver जैसी प्रोसेस को अपने-आप पास नहीं करते.
आभार
Android की सुरक्षा टीम, इन रिसर्चर को उनके योगदान के लिए धन्यवाद देना चाहती है:
- Google Chrome की सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग, और मार्टिन बारबेला: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- CENSUS S.A. के Anestis Bechtsoudis (@anestisb): CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Google की टेलीकॉम टीम के ब्रैड एबिंगर और सैंटोस कोर्डन: CVE-2016-0847
- TU Braunschweig के इंस्टिट्यूट फ़ॉर ऑपरेटिंग सिस्टम ऐंड कंप्यूटर नेटवर्क के डॉमिनिक शूरमैन: CVE-2016-2425
- Gengjia Chen (@chengjia4574), pjf, Jianqiang Zhao (@jianqiangzhao) of IceSword Lab, Qihoo 360: CVE-2016-0844
- École polytechnique fédérale de Lausanne के जॉर्ज पिस्कस: CVE-2016-2426
- Qihoo 360 Technology Co.Ltd के गुआंग गोंग (龚广) (@oldfresher): CVE-2016-2412, CVE-2016-2416
- Google Project Zero के जेम्स फ़ोरशॉ: CVE-2016-2417, CVE-2016-0846
- IceSword Lab, Qihoo 360 के Jianqiang Zhao(@jianqiangzhao), pjf, और Gengjia Chen (@chengjia4574): CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao (@jianqiangzhao) और Qihoo 360 के IceSword Lab के pjf: CVE-2016-2409
- Vertu Corporation LTD की नैंसी वांग: CVE-2016-0837
- नसीम ज़मीर: CVE-2016-2409
- Qualcomm के प्रॉडक्ट सिक्योरिटी इनिशिएटिव के नीको गोल्डे (@iamnion): CVE-2016-2420, CVE-2016-0849
- Trend Micro के पीटर पाई (@heisecode): CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- रिचर्ड शुपक: CVE-2016-2415
- MWR Labs के रोमेन ट्रोव: CVE-2016-0850
- स्टुअर्ट हेंडरसन: CVE-2016-2422
- Android Security के विश्वनाथ मोहन: CVE-2016-2424
- Alibaba Inc. के वेईचाओ सुन (@sunblate): CVE-2016-2414
- Trend Micro Inc. के Wish Wu (@wish_wu) ने बताया: CVE-2016-0843
- Yeonjoon Lee और Xiaofeng Wang, इंडियाना यूनिवर्सिटी ब्लूमिंगटन के, Tongxin Li और Xinhui Han, पीकिंग यूनिवर्सिटी के: CVE-2016-0848
Android की सुरक्षा टीम, CVE-2015-1805 को ठीक करने में मदद करने के लिए, Yuan-Tsung Lo, Wenke Dou, Chiachih Wu (@chiachih_wu), और C0RE टीम और Zimperium के Xuxian Jiang का भी धन्यवाद करती है.
सुरक्षा से जुड़े जोखिम की जानकारी
यहां दिए गए सेक्शन में, सुरक्षा से जुड़ी उन सभी जोखिमों के बारे में जानकारी दी गई है जो 02-04-2016 के पैच लेवल पर लागू होते हैं. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और सीवीई, उससे जुड़ी गड़बड़ी, गंभीरता, जिन वर्शन पर असर पड़ा है, और शिकायत करने की तारीख वाली टेबल शामिल होती है. उपलब्ध होने पर, हम उस AOSP कमिट को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से, अतिरिक्त AOSP रेफ़रंस लिंक किए जाते हैं.
DHCPCD में, रिमोट कोड को लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
डाइनैमिक होस्ट कॉन्फ़िगरेशन प्रोटोकॉल सेवा में मौजूद किसी कमज़ोरी की वजह से, हमलावर मेमोरी को खराब कर सकता है. इससे, रिमोट कोड को चलाया जा सकता है. इस समस्या को गंभीर समस्या के तौर पर रेटिंग दी गई है, क्योंकि DHCP क्लाइंट के संदर्भ में, रिमोट कोड को लागू करने की संभावना है. डीएचसीपी सेवा के पास ऐसी सुविधाओं का ऐक्सेस होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | सबसे अहम | 4.4.4 | 30 जुलाई, 2014 |
| CVE-2014-6060 | ANDROID-16677003 | सबसे अहम | 4.4.4 | 30 जुलाई, 2014 |
| CVE-2016-1503 | ANDROID-26461634 | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 जनवरी, 2016 |
मीडिया कोडेक में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
खास तौर पर तैयार की गई मीडिया फ़ाइल और डेटा को प्रोसेस करने के दौरान, मीडिया सर्वर के इस्तेमाल किए गए मीडिया कोडेक में मौजूद कमजोरियों की वजह से, हैकर को मीडिया सर्वर प्रोसेस के तौर पर, मेमोरी में गड़बड़ी और रिमोट कोड प्रोग्राम चलाने की अनुमति मिल सकती है.
जिस सुविधा पर असर पड़ा है वह ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट को ऐक्सेस किया जा सकता है. इनमें सबसे अहम एमएमएस और ब्राउज़र पर मीडिया चलाने की सुविधा है.
मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | सबसे अहम | 6.0, 6.0.1 | 16 दिसंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Mediaserver में रिमोट कोड लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
खास तौर पर तैयार की गई मीडिया फ़ाइल और डेटा को प्रोसेस करने के दौरान, मीडिया सर्वर में मौजूद कमजोरियों की वजह से, हैकर को मेमोरी को नुकसान पहुंचाने और रिमोट कोड प्रोग्राम चलाने का मौका मिल सकता है.
जिस सुविधा पर असर पड़ा है वह ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट को ऐक्सेस किया जा सकता है. इनमें सबसे अहम एमएमएस और ब्राउज़र पर मीडिया चलाने की सुविधा है.
मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [2] | सबसे अहम | 6.0, 6.0.1 | 6 दिसंबर, 2015 |
| CVE-2016-0836 | ANDROID-25812590 | सबसे अहम | 6.0, 6.0.1 | 19 नवंबर, 2015 |
| CVE-2016-0837 | ANDROID-27208621 | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 फ़रवरी, 2016 |
| CVE-2016-0838 | ANDROID-26366256 [2] | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
| CVE-2016-0839 | ANDROID-25753245 | सबसे अहम | 6.0, 6.0.1 | Google आन्तरिक |
| CVE-2016-0840 | ANDROID-26399350 | सबसे अहम | 6.0, 6.0.1 | Google आन्तरिक |
| CVE-2016-0841 | ANDROID-26040840 | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
libstagefright में रिमोट कोड लागू करने की सुविधा से जुड़ी समस्या
खास तौर पर तैयार की गई फ़ाइल की मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान, libstagefright में मौजूद कमजोरियों की वजह से, कोई हैकर मीडिया सर्वर प्रोसेस के तौर पर, मेमोरी को खराब कर सकता है और रिमोट कोड प्रोग्राम चला सकता है.
जिस सुविधा पर असर पड़ा है वह ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट को ऐक्सेस किया जा सकता है. इनमें सबसे अहम एमएमएस और ब्राउज़र पर मीडिया चलाने की सुविधा है.
मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेटिंग दी गई है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | सबसे अहम | 6.0, 6.0.1 | 23 नवंबर, 2015 |
कर्नेल में प्रिविलेज एस्केलेशन की जोखिम
कर्नेल में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल में कोई भी कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है. इस समस्या के बारे में Android की सुरक्षा से जुड़ी सलाह 18-03-2016 में बताया गया था.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 फ़रवरी, 2016 |
* AOSP में मौजूद पैच, कुछ खास वर्शन के लिए उपलब्ध है: 3.14, 3.10, और 3.4.
Qualcomm परफ़ॉर्मेंस मॉड्यूल में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की सुविधा
Qualcomm के ARM प्रोसेसर के लिए, परफ़ॉर्मेंस इवेंट मैनेजर कॉम्पोनेंट में, विशेषाधिकार बढ़ाने से जुड़ी एक कमज़ोरी है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल में किसी भी कोड को चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, हो सकता है कि डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़े.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 नवंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm RF कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
Qualcomm RF ड्राइवर में एक जोखिम है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, हो सकता है कि डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़े.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307* | सबसे अहम | 6.0, 6.0.1 | 25 दिसंबर, 2015 |
* इस समस्या के लिए एक और पैच, Linux अपस्ट्रीम में मौजूद है.
कर्नेल में प्रिविलेज एस्केलेशन की जोखिम
सामान्य कर्नेल में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260
[2]
[3] [4] [5] [6] [7] [8] [9] [10] [11] |
सबसे अहम | 6.0, 6.0.1 | 25 दिसंबर, 2015 |
IMemory नेटिव इंटरफ़ेस में, खास सुविधाओं के ऐक्सेस के गलत इस्तेमाल से जुड़ी जोखिम की आशंका
IMemory नेटिव इंटरफ़ेस में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को ऐक्सेस लेवल बढ़ाए गए सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार, जिन्हें तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 जनवरी, 2016 |
टेलीकॉम कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
टेलीकॉम कॉम्पोनेंट में, ऐलिवेशन ऑफ़ प्रिविलेज की समस्या की वजह से, हमलावर किसी भी नंबर से कॉल कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं की जा सकतीं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [2] | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
डाउनलोड मैनेजर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
डाउनलोड मैनेजर में, ऐक्सेस लेवल बढ़ाने की समस्या की वजह से, हमलावर निजी स्टोरेज में मौजूद बिना अनुमति वाली फ़ाइलों को ऐक्सेस कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं की जा सकतीं.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 दिसंबर, 2015 |
रिकवरी प्रोसेस में, खास सुविधाओं के ऐक्सेस के गलत इस्तेमाल से जुड़ी जोखिम की आशंका
रिकवरी प्रोसेस में, ऐक्सेस लेवल बढ़ाने की जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को ऐक्सेस लेवल बढ़ाए गए सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार, जिन्हें तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 फ़रवरी, 2016 |
ब्लूटूथ में प्रिविलेज एस्केलेशन की समस्या
ब्लूटूथ में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी समस्या की वजह से, शुरुआती जोड़ने की प्रोसेस के दौरान, किसी भरोसेमंद डिवाइस के बजाय किसी अविश्वसनीय डिवाइस को फ़ोन से जोड़ा जा सकता है. इससे, डिवाइस के संसाधनों का ऐक्सेस बिना अनुमति के मिल सकता है. जैसे, इंटरनेट कनेक्शन. इस समस्या को गंभीर के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उन सुविधाओं को ऐक्सेस करने के लिए किया जा सकता है जो भरोसेमंद डिवाइसों के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 जनवरी, 2016 |
Texas Instruments Haptic Driver में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Texas Instruments के हैप्टिक कोर ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कोर के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. आम तौर पर, इस तरह के कर्नेल कोड को 'गंभीर' के तौर पर रेट किया जाता है. हालांकि, इसके लिए सबसे पहले ड्राइवर को कॉल करने वाली सेवा को कमज़ोर करना ज़रूरी है. इसलिए, इसे 'गंभीर' के बजाय 'बहुत गंभीर' के तौर पर रेट किया गया है.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | ज़्यादा | 6.0, 6.0.1 | 25 दिसंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm Video Kernel Driver में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm वीडियो कर्नेल ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी एक कमजोरी है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. आम तौर पर, कर्नेल कोड को चलाने से जुड़ी किसी कमज़ोरी को गंभीर माना जाता है. हालांकि, इसके लिए पहले उस सेवा को कमज़ोर करना ज़रूरी होता है जो ड्राइवर को कॉल कर सकती है. इसलिए, इसे गंभीरता के हिसाब से 'बहुत गंभीर' के तौर पर रेट किया जाता है.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | ज़्यादा | 6.0, 6.0.1 | 21 दिसंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm Power Management कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
Qualcomm Power Management के कोर ड्राइवर में, प्रिविलेज एस्केलेशन की समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कोर के संदर्भ में मनमुताबिक कोड चला सकता है. आम तौर पर, इस तरह के कर्नेल कोड को 'गंभीर' के तौर पर रेट किया जाता है. हालांकि, इसके लिए डिवाइस को पहले हैक करना और रूट ऐक्सेस पाना ज़रूरी है. इसलिए, इसे 'गंभीर' के बजाय 'बहुत गंभीर' के तौर पर रेट किया गया है.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | ज़्यादा | 6.0, 6.0.1 | 28 जनवरी, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
System_server में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
System_server में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को, खास सुविधाओं वाले सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के फ़ायदे. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 जनवरी, 2016 |
Mediaserver में प्रिविलेज एस्केलेशन की समस्या
mediaserver में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी लोकल ऐप्लिकेशन को खास सुविधाओं वाले सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार, जिन्हें तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 जनवरी, 2016 |
Minikin में सेवा में रुकावट की समस्या
Minikin लाइब्रेरी में, सेवा अस्वीकार करने से जुड़ी एक समस्या है. इसकी मदद से, कोई स्थानीय हमलावर, जिस डिवाइस पर इस समस्या का असर पड़ा है उसका ऐक्सेस कुछ समय के लिए ब्लॉक कर सकता है. हमलावर, किसी ऐसे फ़ॉन्ट को लोड कर सकता है जिस पर भरोसा नहीं किया जा सकता. इससे Minikin कॉम्पोनेंट में ओवरफ़्लो हो सकता है और ऐप्लिकेशन क्रैश हो सकता है. इसे गंभीर समस्या के तौर पर रेटिंग दी गई है, क्योंकि सेवा के अस्वीकार होने की वजह से डिवाइस बार-बार रीबूट होता रहेगा.
| CVE | AOSP लिंक से जुड़ी गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [2] | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 नवंबर, 2015 |
Exchange ActiveSync में जानकारी ज़ाहिर करने से जुड़ी समस्या
Exchange ActiveSync में जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता की निजी जानकारी का ऐक्सेस मिल सकता है. इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है, क्योंकि इससे सुरक्षित डेटा को रिमोट तौर पर ऐक्सेस किया जा सकता है.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 जनवरी, 2016 |
Mediaserver में जानकारी ज़ाहिर करने से जुड़ी समस्या
Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, सुरक्षा से जुड़े उपायों को बायपास किया जा सकता है. इससे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को मुश्किल हो सकती है. इन समस्याओं को गंभीर समस्याओं के तौर पर रेट किया गया है, क्योंकि इनका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए भी किया जा सकता है. जैसे, Signature या SignatureOrSystem से जुड़ी अनुमतियों के फ़ायदे. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [2] | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 फ़रवरी, 2016 |
| CVE-2016-2417 | ANDROID-26914474 | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 फ़रवरी, 2016 |
| CVE-2016-2418 | ANDROID-26324358 | ज़्यादा | 6.0, 6.0.1 | 24 दिसंबर, 2015 |
| CVE-2016-2419 | ANDROID-26323455 | ज़्यादा | 6.0, 6.0.1 | 24 दिसंबर, 2015 |
डीबगर किए गए कॉम्पोनेंट में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Debuggerd कॉम्पोनेंट में, ऐक्सेस लेवल बढ़ाने की जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इससे डिवाइस को हमेशा के लिए हैक किया जा सकता है. इसलिए, डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है. आम तौर पर, कोड को लागू करने से जुड़े इस तरह के गड़बड़ी को गंभीर के तौर पर रेट किया जाता है. हालांकि, यह सिर्फ़ Android 4.4.4 वर्शन में, सिस्टम से रूट तक की अनुमति को बढ़ाने की सुविधा चालू करती है. इसलिए, इसे गंभीर के बजाय, सामान्य के तौर पर रेट किया गया है. Android 5.0 और उसके बाद के वर्शन में, SELinux के नियम तीसरे पक्ष के ऐप्लिकेशन को, उस कोड तक पहुंचने से रोकते हैं जिस पर असर पड़ा है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [2] | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 जनवरी, 2016 |
सेटअप विज़र्ड में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
सेटअप विज़र्ड में मौजूद किसी सुरक्षा से जुड़ी गड़बड़ी की वजह से, हमलावर डिवाइस को ऐक्सेस कर सकता है. साथ ही, वह फ़ैक्ट्री रीसेट की सुरक्षा को भी बायपास कर सकता है. इसे 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इससे डिवाइस का ऐक्सेस रखने वाला कोई व्यक्ति, फ़ैक्ट्री रीसेट की सुरक्षा सेटिंग को बायपास कर सकता है. इससे हमलावर, डिवाइस को रीसेट करके उसका सारा डेटा मिटा सकता है.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | काफ़ी हद तक ठीक है | 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नई बाइनरी रिलीज़ में शामिल है.
वाई-फ़ाई में प्रिविलेज एस्केलेशन की समस्या
वाई-फ़ाई में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को ऐक्सेस लेवल बढ़ाए गए सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार, जिन्हें तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 दिसंबर, 2015 |
टेलीफ़ोनी में प्रिविलेज एस्केलेशन की समस्या
टेलीफ़ोनी में मौजूद किसी गड़बड़ी की वजह से, हमलावर फ़ैक्ट्री रीसेट की सुरक्षा को बायपास करके, डिवाइस का ऐक्सेस हासिल कर सकता है. इसे 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इससे डिवाइस का ऐक्सेस रखने वाला कोई व्यक्ति, फ़ैक्ट्री रीसेट की सुरक्षा को बायपास कर सकता है. इससे हमलावर, डिवाइस को रीसेट करके उसका सारा डेटा मिटा सकता है.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
SyncStorageEngine में सेवा में रुकावट डालने से जुड़ी समस्या
SyncStorageEngine में, सेवा के अस्वीकार होने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन डिवाइस को बार-बार रीबूट कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल कुछ समय के लिए सेवा में रुकावट डालने के लिए किया जा सकता है. इसे ठीक करने के लिए, फ़ैक्ट्री रीसेट करना पड़ सकता है.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
AOSP Mail में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
AOSP Mail में जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका की वजह से, स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को उपयोगकर्ता की निजी जानकारी का ऐक्सेस मिल सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल गलत तरीके से "खतरनाक" अनुमतियां पाने के लिए किया जा सकता है.
| CVE | AOSP लिंक से जुड़े बग | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | काफ़ी हद तक ठीक है | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 जनवरी, 2016 |
| CVE-2016-2425 | ANDROID-7154234* | काफ़ी हद तक ठीक है | 5.0.2 | 29 जनवरी, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध, Nexus डिवाइसों के लिए बनी नई बाइनरी रिलीज़ में शामिल है.
फ़्रेमवर्क में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
फ़्रेमवर्क कॉम्पोनेंट में जानकारी ज़ाहिर करने की समस्या की वजह से, किसी ऐप्लिकेशन को संवेदनशील जानकारी ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' गंभीरता वाला माना गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना डेटा को गलत तरीके से ऐक्सेस करने के लिए किया जा सकता है.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 दिसंबर, 2015 |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
सिक्योरिटी पैच के लेवल 2 अप्रैल, 2016 या उसके बाद के वर्शन में, इन समस्याओं को ठीक किया गया है. सिक्योरिटी पैच के लेवल की जांच करने का तरीका जानने के लिए, Nexus दस्तावेज़ देखें. डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-04-02]
2. सिक्योरिटी पैच का लेवल 2 अप्रैल, 2016 क्यों है?
हर महीने मिलने वाले सुरक्षा अपडेट के लिए, सुरक्षा पैच का लेवल आम तौर पर महीने के पहले दिन पर सेट होता है. अप्रैल के लिए, 1 अप्रैल, 2016 का सिक्योरिटी पैच लेवल बताता है कि इस बुलेटिन में बताई गई सभी समस्याएं हल हो गई हैं. हालांकि, CVE-2015-1805 को छोड़कर, यह समस्या अब भी मौजूद है. इस बारे में Android सुरक्षा सलाह 18-03-2016 में बताया गया है. 2 अप्रैल, 2016 का सिक्योरिटी पैच लेवल बताता है कि इस सूचना में बताई गई सभी समस्याएं हल कर दी गई हैं. इनमें CVE-2015-1805 भी शामिल है, जिसे Android सुरक्षा सलाह 18-03-2016 में बताया गया है.
संशोधन
- 04 अप्रैल, 2016: बुलेटिन पब्लिश किया गया.
- 06 अप्रैल, 2016: AOSP के लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.
- 07 अप्रैल, 2016: AOSP का एक और लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.
- 11 जुलाई, 2016: CVE-2016-2427 के बारे में अपडेट किया गया ब्यौरा.
- 01 अगस्त, 2016: CVE-2016-2427 की जानकारी अपडेट की गई
- 19 दिसंबर, 2016: CVE-2016-2427 को हटाने के लिए अपडेट किया गया. इसे पहले वापस ले लिया गया था.