Nexus सुरक्षा बुलेटिन—अप्रैल 2016

संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

04 अप्रैल 2016 को प्रकाशित | 19 दिसंबर 2016 को अपडेट किया गया

हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 02 अप्रैल, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें)।

भागीदारों को 16 मार्च, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

Android सुरक्षा सलाहकार 2016-03-18 ने पहले रूटिंग एप्लिकेशन द्वारा CVE-2015-1805 के उपयोग पर चर्चा की थी। इस अद्यतन में CVE-2015-1805 का समाधान किया गया है। सक्रिय ग्राहक शोषण या अन्य नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं मिली है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के बारे में अधिक जानकारी के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

न्यूनीकरण

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो उपयोगकर्ता को संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल किए जाने के बारे में चेतावनी देगी। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।

स्वीकृतियाँ

Android सुरक्षा टीम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहती है:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
  • सेंसस एसए के एनेस्टिस बेच्सौडिस ( @anestisb ): सीवीई-2016-0842, सीवीई-2016-0836, सीवीई-2016-0835
  • Google टेलीकॉम टीम के ब्रैड एबिंगर और सैंटोस कॉर्डन: CVE-2016-0847
  • ऑपरेटिंग सिस्टम और कंप्यूटर नेटवर्क संस्थान के डोमिनिक शूरमन, टीयू ब्राउनश्वेग: सीवीई-2016-2425
  • गेंगजिया चेन ( @ चेंगजिया 4574 ), पीजेएफ , जियानकियांग झाओ ( @jianqiangzhao ) IceSword लैब, किहू 360: CVE-2016-0844
  • इकोले पॉलिटेक्निक फ़ेडेरेल डी लॉज़ेन के जॉर्ज पिस्कस : CVE-2016-2426
  • Qihoo 360 Technology Co.Ltd के गुआंग गोंग (龚广) ( @oldfresher ): CVE-2016-2412, CVE-2016-2416
  • Google प्रोजेक्ट ज़ीरो के जेम्स फ़ोरशॉ: CVE-2016-2417, CVE-2016-0846
  • जियानकियांग झाओ(@ jianqiangzhao ), pjf , और गेंगजिया चेन ( @chengjia4574 ) IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
  • जियानकियांग झाओ ( @jianqiangzhao ) और IceSword लैब के pjf, Qihoo 360: CVE-2016-2409
  • वर्टू कॉर्पोरेशन लिमिटेड की नैन्सी वांग: CVE-2016-0837
  • नसीम ज़मीर : सीवीई-2016-2409
  • क्वालकॉम उत्पाद सुरक्षा पहल के निको गोल्डे ( @iamnion ): CVE-2016-2420, CVE-2016-0849
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
  • रिचर्ड शुपक: सीवीई-2016-2415
  • MWR लैब्स का रोमेन ट्रौवे : CVE-2016-0850
  • स्टुअर्ट हेंडरसन: सीवीई-2016-2422
  • Android सुरक्षा के विश्वथ मोहन: CVE-2016-2424
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-2414
  • ट्रेंड माइक्रो इंक के विश वू ( @wish_wu ): CVE-2016-0843
  • इंडियाना यूनिवर्सिटी ब्लूमिंगटन के योनजून ली और जिओफेंग वांग , पेकिंग यूनिवर्सिटी के टोंगक्सिन ली और सिन्हुई हान : सीवीई-2016-0848

Android सुरक्षा टीम C0RE-2015-1805 में उनके योगदान के लिए युआन-त्सुंग लो , वेन्के डू , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग और ज़िम्पेरियम को भी धन्यवाद देती है।

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में 2016-04-02 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता का विवरण है। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस AOSP कमिट को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया था। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

डीएचसीपीसीडी में रिमोट कोड निष्पादन भेद्यता

डायनेमिक होस्ट कॉन्फ़िगरेशन प्रोटोकॉल सेवा में एक भेद्यता एक हमलावर को स्मृति भ्रष्टाचार का कारण बनने में सक्षम कर सकती है, जिससे रिमोट कोड निष्पादन हो सकता है। डीएचसीपी क्लाइंट के संदर्भ में रिमोट कोड के निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। डीएचसीपी सेवा के पास उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।

सीवीई AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2014-6060 एंड्रॉइड-15268738 नाजुक 4.4.4 30 जुलाई 2014
सीवीई-2014-6060 एंड्रॉइड-16677003 नाजुक 4.4.4 30 जुलाई 2014
सीवीई-2016-1503 एंड्रॉइड-26461634 नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 जनवरी 4, 2016

मीडिया कोडेक में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर द्वारा उपयोग किए जाने वाले मीडिया कोडेक में भेद्यता एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती है।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0834 एंड्रॉइड-26220548* नाजुक 6.0, 6.0.1 दिसंबर 16, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0835 एंड्रॉइड-26070014 [ 2 ] नाजुक 6.0, 6.0.1 दिसम्बर 6, 2015
सीवीई-2016-0836 एंड्रॉइड-25812590 नाजुक 6.0, 6.0.1 नवम्बर 19, 2015
सीवीई-2016-0837 एंड्रॉइड-27208621 नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फरवरी 11, 2016
सीवीई-2016-0838 एंड्रॉइड-26366256 [ 2 ] नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक
सीवीई-2016-0839 एंड्रॉइड-25753245 नाजुक 6.0, 6.0.1 Google आंतरिक
सीवीई-2016-0840 एंड्रॉइड-26399350 नाजुक 6.0, 6.0.1 Google आंतरिक
सीवीई-2016-0841 एंड्रॉइड-26040840 नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक

libstagefright में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, libstagefright में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0842 एंड्रॉइड-25818142 नाजुक 6.0, 6.0.1 नवम्बर 23, 2015

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी। इस समस्या का वर्णन Android सुरक्षा सलाहकार 2016-03-18 में किया गया था।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2015-1805 एंड्रॉइड-27275324* नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फरवरी 19, 2016

* AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 3.14 , 3.10 , और 3.4

क्वालकॉम प्रदर्शन मॉड्यूल में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम से एआरएम प्रोसेसर के लिए प्रदर्शन इवेंट मैनेजर घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0843 एंड्रॉइड-25801197* नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 नवम्बर 19, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम आरएफ घटक में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम आरएफ ड्राइवर में एक भेद्यता है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0844 एंड्रॉइड-26324307 * नाजुक 6.0, 6.0.1 दिसंबर 25, 2015

* इस समस्या के लिए एक अतिरिक्त पैच लिनक्स अपस्ट्रीम में स्थित है।

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन

सामान्य कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2014-9322 एंड्रॉइड-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
नाजुक 6.0, 6.0.1 दिसंबर 25, 2015

IMemory नेटिव इंटरफ़ेस में विशेषाधिकार भेद्यता का उन्नयन

IMemory नेटिव इंटरफ़ेस में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0846 एंड्रॉइड-26877992 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 जनवरी 2016

दूरसंचार घटक में विशेषाधिकार भेद्यता का उन्नयन

टेलीकॉम कंपोनेंट में विशेषाधिकार भेद्यता का उन्नयन एक हमलावर को किसी भी मनमानी संख्या से कॉल आने के लिए सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0847 एंड्रॉइड-26864502 [ 2 ] उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक

डाउनलोड प्रबंधक में विशेषाधिकार भेद्यता का उन्नयन

डाउनलोड प्रबंधक में विशेषाधिकार भेद्यता का उन्नयन एक हमलावर को निजी भंडारण में अनधिकृत फ़ाइलों तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0848 एंड्रॉइड-26211054 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसंबर 14, 2015

पुनर्प्राप्ति प्रक्रिया में विशेषाधिकार भेद्यता का उन्नयन

पुनर्प्राप्ति प्रक्रिया में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0849 एंड्रॉइड-26960931 उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 3, 2016

ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन

ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन एक अविश्वसनीय डिवाइस को प्रारंभिक युग्मन प्रक्रिया के दौरान फोन के साथ युग्मित करने में सक्षम कर सकता है। इससे डिवाइस संसाधनों की अनधिकृत पहुंच हो सकती है, जैसे कि इंटरनेट कनेक्शन। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है जो अविश्वसनीय उपकरणों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-0850 एंड्रॉइड-26551752 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 जनवरी 13, 2016

टेक्सास इंस्ट्रूमेंट्स हैप्टिक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

टेक्सास इंस्ट्रूमेंट्स हैप्टिक कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का एक उन्नयन है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सकती है, इसके बजाय इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2409 एंड्रॉइड-25981545* उच्च 6.0, 6.0.1 दिसंबर 25, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम वीडियो कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वीडियो कर्नेल ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमानी कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर एक कर्नेल कोड निष्पादन भेद्यता को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना पड़ता है जो ड्राइवर को कॉल कर सकती है, इसके बजाय इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2410 एंड्रॉइड-26291677* उच्च 6.0, 6.0.1 दिसंबर 21, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम पावर प्रबंधन घटक में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम पावर मैनेजमेंट कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमानी कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले डिवाइस से समझौता करने और रूट को ऊंचाई देने की आवश्यकता होती है, इसलिए इसे इसके बजाय उच्च गंभीरता के रूप में रेट किया जाता है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2411 एंड्रॉइड-26866053* उच्च 6.0, 6.0.1 जनवरी 28, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

System_server में विशेषाधिकार भेद्यता का उन्नयन

System_server में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2412 एंड्रॉइड-26593930 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 जनवरी 15, 2016

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन

मीडियासर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2413 एंड्रॉइड-26403627 उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 जनवरी 5, 2016

मिनिकिन में सेवा भेद्यता से इनकार

मिनिकिन लाइब्रेरी में सेवा भेद्यता से इनकार एक स्थानीय हमलावर को एक प्रभावित डिवाइस तक पहुंच को अस्थायी रूप से अवरुद्ध करने की अनुमति दे सकता है। एक हमलावर एक अविश्वसनीय फ़ॉन्ट को लोड करने का कारण बन सकता है और मिनिकिन घटक में अतिप्रवाह का कारण बन सकता है, जिससे दुर्घटना हो सकती है। इसे उच्च गंभीरता के रूप में दर्जा दिया गया है क्योंकि सेवा से इनकार करने से निरंतर रिबूट लूप होगा।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2414 एंड्रॉइड-26413177 [ 2 ] उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 नवंबर 3, 2015

Exchange ActiveSync में सूचना प्रकटीकरण सुभेद्यता

एक्सचेंज एक्टिवसिंक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि यह संरक्षित डेटा तक दूरस्थ पहुंच की अनुमति देता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2415 एंड्रॉइड-26488455 उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 11 जनवरी 2016

Mediaserver में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2416 एंड्रॉइड-27046057 [ 2 ] उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 5, 2016
सीवीई-2016-2417 एंड्रॉइड-26914474 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फरवरी 1, 2016
सीवीई-2016-2418 एंड्रॉइड-26324358 उच्च 6.0, 6.0.1 दिसंबर 24, 2015
सीवीई-2016-2419 एंड्रॉइड-26323455 उच्च 6.0, 6.0.1 दिसंबर 24, 2015

डीबगर घटक में विशेषाधिकार भेद्यता का उन्नयन

डीबगर घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमाना कोड निष्पादित करने में सक्षम कर सकता है जिससे स्थायी डिवाइस समझौता हो सकता है। नतीजतन, ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को संभवतः मरम्मत करने की आवश्यकता होगी। आम तौर पर इस तरह के एक कोड निष्पादन बग को क्रिटिकल के रूप में रेट किया जाएगा, लेकिन क्योंकि यह केवल एंड्रॉइड वर्जन 4.4.4 में सिस्टम से रूट तक विशेषाधिकार के उन्नयन को सक्षम बनाता है, इसे इसके बजाय मॉडरेट के रूप में रेट किया गया है। Android संस्करण 5.0 और इसके बाद के संस्करण में, SELinux नियम तृतीय-पक्ष एप्लिकेशन को प्रभावित कोड तक पहुंचने से रोकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2420 एंड्रॉइड-26403620 [ 2 ] संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 जनवरी 5, 2016

सेटअप विज़ार्ड में विशेषाधिकार भेद्यता का उन्नयन

सेटअप विज़ार्ड में एक भेद्यता एक हमलावर को फ़ैक्टरी रीसेट सुरक्षा को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकती है। इसे मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि यह संभावित रूप से किसी डिवाइस को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की अनुमति देता है, जो एक हमलावर को सभी डेटा को मिटाते हुए डिवाइस को सफलतापूर्वक रीसेट करने में सक्षम बनाता है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2421 एंड्रॉइड-26154410* संतुलित 5.1.1, 6.0, 6.0.1 Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी रिलीज़ में शामिल है।

वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन

वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2422 एंड्रॉइड-26324357 संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसंबर 23, 2015

टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन

टेलीफोनी में एक भेद्यता एक हमलावर को फ़ैक्टरी रीसेट सुरक्षा को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकती है। इसे मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि यह संभावित रूप से किसी डिवाइस को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की अनुमति देता है, जो एक हमलावर को सभी डेटा को मिटाते हुए डिवाइस को सफलतापूर्वक रीसेट करने में सक्षम बनाता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2423 एंड्रॉइड-26303187 संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक

SyncStorageEngine में सेवा भेद्यता से इनकार

SyncStorageEngine में सेवा सुरक्षाछिद्र की अस्वीकृति एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को रीबूट लूप का कारण बनने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग स्थानीय अस्थायी रूप से सेवा से इनकार करने के लिए किया जा सकता है जिसे फ़ैक्टरी रीसेट के बावजूद संभवतः ठीक करने की आवश्यकता होगी।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2424 एंड्रॉइड-26513719 संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक

एओएसपी मेल में सूचना प्रकटीकरण भेद्यता

एओएसपी मेल में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग "खतरनाक" अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2425 एंड्रॉइड-26989185 संतुलित 4.4.4, 5.1.1, 6.0, 6.0.1 29 जनवरी 2016
सीवीई-2016-2425 एंड्रॉइड-7154234* संतुलित 5.0.2 29 जनवरी 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी रिलीज़ में शामिल है।

फ्रेमवर्क में सूचना प्रकटीकरण सुभेद्यता

फ्रेमवर्क घटक में एक सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक अनुचित तरीके से पहुंचने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
सीवीई-2016-2426 एंड्रॉइड-26094635 संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसम्बर 8, 2015

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

2 अप्रैल, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें)। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-04-02]

2. यह सुरक्षा पैच स्तर 2 अप्रैल 2016 क्यों है?

मासिक सुरक्षा अद्यतन के लिए सुरक्षा पैच स्तर सामान्य रूप से महीने के पहले पर सेट होता है। अप्रैल के लिए, 1 अप्रैल, 2016 का सुरक्षा पैच स्तर इंगित करता है कि CVE-2015-1805 के अपवाद के साथ इस बुलेटिन में वर्णित सभी मुद्दों का समाधान किया गया है, जैसा कि Android सुरक्षा सलाहकार 2016-03-18 में वर्णित है। 2 अप्रैल, 2016 का एक सुरक्षा पैच स्तर इंगित करता है कि इस बुलेटिन में वर्णित सभी मुद्दों, जिनमें CVE-2015-1805 शामिल है, जैसा कि Android सुरक्षा सलाहकार 2016-03-18 में वर्णित है, का समाधान कर दिया गया है।

संशोधन

  • अप्रैल 04, 2016: बुलेटिन प्रकाशित।
  • 06 अप्रैल, 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
  • 07 अप्रैल, 2016: अतिरिक्त एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
  • 11 जुलाई 2016: सीवीई-2016-2427 का अद्यतन विवरण।
  • अगस्त 01, 2016: सीवीई-2016-2427 . का अद्यतन विवरण
  • 19 दिसंबर, 2016: CVE-2016-2427 को हटाने के लिए अपडेट किया गया, जिसे वापस कर दिया गया था।