04 अप्रैल 2016 को प्रकाशित | 19 दिसंबर 2016 को अपडेट किया गया
हमने अपनी Android सुरक्षा बुलेटिन मासिक रिलीज़ प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 02 अप्रैल, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें)।
भागीदारों को 16 मार्च, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।
इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
Android सुरक्षा सलाहकार 2016-03-18 ने पहले रूटिंग एप्लिकेशन द्वारा CVE-2015-1805 के उपयोग पर चर्चा की थी। इस अद्यतन में CVE-2015-1805 का समाधान किया गया है। सक्रिय ग्राहक शोषण या अन्य नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं मिली है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के बारे में अधिक जानकारी के लिए मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
न्यूनीकरण
यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है, जो उपयोगकर्ता को संभावित रूप से हानिकारक ऐप्लिकेशन इंस्टॉल किए जाने के बारे में चेतावनी देगी। Google Play में डिवाइस रूट करने वाले टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, ऐप्स सत्यापित करें डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित करें कि ऐप्स एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उनकी स्थापना को अवरुद्ध करने का प्रयास करते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो ऐप्स सत्यापित करें उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को निकालने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।
स्वीकृतियाँ
Android सुरक्षा टीम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहती है:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- सेंसस एसए के एनेस्टिस बेच्सौडिस ( @anestisb ): सीवीई-2016-0842, सीवीई-2016-0836, सीवीई-2016-0835
- Google टेलीकॉम टीम के ब्रैड एबिंगर और सैंटोस कॉर्डन: CVE-2016-0847
- ऑपरेटिंग सिस्टम और कंप्यूटर नेटवर्क संस्थान के डोमिनिक शूरमन, टीयू ब्राउनश्वेग: सीवीई-2016-2425
- गेंगजिया चेन ( @ चेंगजिया 4574 ), पीजेएफ , जियानकियांग झाओ ( @jianqiangzhao ) IceSword लैब, किहू 360: CVE-2016-0844
- इकोले पॉलिटेक्निक फ़ेडेरेल डी लॉज़ेन के जॉर्ज पिस्कस : CVE-2016-2426
- Qihoo 360 Technology Co.Ltd के गुआंग गोंग (龚广) ( @oldfresher ): CVE-2016-2412, CVE-2016-2416
- Google प्रोजेक्ट ज़ीरो के जेम्स फ़ोरशॉ: CVE-2016-2417, CVE-2016-0846
- जियानकियांग झाओ(@ jianqiangzhao ), pjf , और गेंगजिया चेन ( @chengjia4574 ) IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- जियानकियांग झाओ ( @jianqiangzhao ) और IceSword लैब के pjf, Qihoo 360: CVE-2016-2409
- वर्टू कॉर्पोरेशन लिमिटेड की नैन्सी वांग: CVE-2016-0837
- नसीम ज़मीर : सीवीई-2016-2409
- क्वालकॉम उत्पाद सुरक्षा पहल के निको गोल्डे ( @iamnion ): CVE-2016-2420, CVE-2016-0849
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- रिचर्ड शुपक: सीवीई-2016-2415
- MWR लैब्स का रोमेन ट्रौवे : CVE-2016-0850
- स्टुअर्ट हेंडरसन: सीवीई-2016-2422
- Android सुरक्षा के विश्वथ मोहन: CVE-2016-2424
- अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-2414
- ट्रेंड माइक्रो इंक के विश वू ( @wish_wu ): CVE-2016-0843
- इंडियाना यूनिवर्सिटी ब्लूमिंगटन के योनजून ली और जिओफेंग वांग , पेकिंग यूनिवर्सिटी के टोंगक्सिन ली और सिन्हुई हान : सीवीई-2016-0848
Android सुरक्षा टीम C0RE-2015-1805 में उनके योगदान के लिए युआन-त्सुंग लो , वेन्के डू , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग और ज़िम्पेरियम को भी धन्यवाद देती है।
सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में 2016-04-02 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता का विवरण है। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस AOSP कमिट को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया था। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
डीएचसीपीसीडी में रिमोट कोड निष्पादन भेद्यता
डायनेमिक होस्ट कॉन्फ़िगरेशन प्रोटोकॉल सेवा में एक भेद्यता एक हमलावर को स्मृति भ्रष्टाचार का कारण बनने में सक्षम कर सकती है, जिससे रिमोट कोड निष्पादन हो सकता है। डीएचसीपी क्लाइंट के संदर्भ में रिमोट कोड के निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। डीएचसीपी सेवा के पास उन विशेषाधिकारों तक पहुंच है जो सामान्य रूप से तृतीय-पक्ष एप्लिकेशन तक नहीं पहुंच सकते हैं।
| सीवीई | AOSP लिंक के साथ कीड़े | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2014-6060 | एंड्रॉइड-15268738 | नाजुक | 4.4.4 | 30 जुलाई 2014 |
| सीवीई-2014-6060 | एंड्रॉइड-16677003 | नाजुक | 4.4.4 | 30 जुलाई 2014 |
| सीवीई-2016-1503 | एंड्रॉइड-26461634 | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 4, 2016 |
मीडिया कोडेक में रिमोट कोड निष्पादन भेद्यता
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर द्वारा उपयोग किए जाने वाले मीडिया कोडेक में भेद्यता एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती है।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
| सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0834 | एंड्रॉइड-26220548* | नाजुक | 6.0, 6.0.1 | दिसंबर 16, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
Mediaserver में रिमोट कोड निष्पादन भेद्यता
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
| सीवीई | AOSP लिंक के साथ कीड़े | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0835 | एंड्रॉइड-26070014 [ 2 ] | नाजुक | 6.0, 6.0.1 | दिसम्बर 6, 2015 |
| सीवीई-2016-0836 | एंड्रॉइड-25812590 | नाजुक | 6.0, 6.0.1 | नवम्बर 19, 2015 |
| सीवीई-2016-0837 | एंड्रॉइड-27208621 | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 11, 2016 |
| सीवीई-2016-0838 | एंड्रॉइड-26366256 [ 2 ] | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
| सीवीई-2016-0839 | एंड्रॉइड-25753245 | नाजुक | 6.0, 6.0.1 | Google आंतरिक |
| सीवीई-2016-0840 | एंड्रॉइड-26399350 | नाजुक | 6.0, 6.0.1 | Google आंतरिक |
| सीवीई-2016-0841 | एंड्रॉइड-26040840 | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
libstagefright में रिमोट कोड निष्पादन भेद्यता
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, libstagefright में कमजोरियाँ एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती हैं।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0842 | एंड्रॉइड-25818142 | नाजुक | 6.0, 6.0.1 | नवम्बर 23, 2015 |
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी। इस समस्या का वर्णन Android सुरक्षा सलाहकार 2016-03-18 में किया गया था।
| सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-1805 | एंड्रॉइड-27275324* | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 19, 2016 |
* AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 3.14 , 3.10 , और 3.4 ।
क्वालकॉम प्रदर्शन मॉड्यूल में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम से एआरएम प्रोसेसर के लिए प्रदर्शन इवेंट मैनेजर घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।
| सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0843 | एंड्रॉइड-25801197* | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | नवम्बर 19, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम आरएफ घटक में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम आरएफ ड्राइवर में एक भेद्यता है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0844 | एंड्रॉइड-26324307 * | नाजुक | 6.0, 6.0.1 | दिसंबर 25, 2015 |
* इस समस्या के लिए एक अतिरिक्त पैच लिनक्स अपस्ट्रीम में स्थित है।
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन
सामान्य कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है और संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को सुधारने की आवश्यकता होगी।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2014-9322 | एंड्रॉइड-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | नाजुक | 6.0, 6.0.1 | दिसंबर 25, 2015 |
IMemory नेटिव इंटरफ़ेस में विशेषाधिकार भेद्यता का उन्नयन
IMemory नेटिव इंटरफ़ेस में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0846 | एंड्रॉइड-26877992 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 जनवरी 2016 |
दूरसंचार घटक में विशेषाधिकार भेद्यता का उन्नयन
टेलीकॉम कंपोनेंट में विशेषाधिकार भेद्यता का उन्नयन एक हमलावर को किसी भी मनमानी संख्या से कॉल आने के लिए सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0847 | एंड्रॉइड-26864502 [ 2 ] | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
डाउनलोड प्रबंधक में विशेषाधिकार भेद्यता का उन्नयन
डाउनलोड प्रबंधक में विशेषाधिकार भेद्यता का उन्नयन एक हमलावर को निजी भंडारण में अनधिकृत फ़ाइलों तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0848 | एंड्रॉइड-26211054 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | दिसंबर 14, 2015 |
पुनर्प्राप्ति प्रक्रिया में विशेषाधिकार भेद्यता का उन्नयन
पुनर्प्राप्ति प्रक्रिया में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0849 | एंड्रॉइड-26960931 | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 3, 2016 |
ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन
ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन एक अविश्वसनीय डिवाइस को प्रारंभिक युग्मन प्रक्रिया के दौरान फोन के साथ युग्मित करने में सक्षम कर सकता है। इससे डिवाइस संसाधनों की अनधिकृत पहुंच हो सकती है, जैसे कि इंटरनेट कनेक्शन। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है जो अविश्वसनीय उपकरणों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0850 | एंड्रॉइड-26551752 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 13, 2016 |
टेक्सास इंस्ट्रूमेंट्स हैप्टिक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
टेक्सास इंस्ट्रूमेंट्स हैप्टिक कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का एक उन्नयन है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सकती है, इसके बजाय इसे उच्च गंभीरता के रूप में रेट किया गया है।
| सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2409 | एंड्रॉइड-25981545* | उच्च | 6.0, 6.0.1 | दिसंबर 25, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वीडियो कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वीडियो कर्नेल ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमानी कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर एक कर्नेल कोड निष्पादन भेद्यता को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना पड़ता है जो ड्राइवर को कॉल कर सकती है, इसके बजाय इसे उच्च गंभीरता के रूप में रेट किया गया है।
| सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2410 | एंड्रॉइड-26291677* | उच्च | 6.0, 6.0.1 | दिसंबर 21, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम पावर प्रबंधन घटक में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम पावर मैनेजमेंट कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमानी कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले डिवाइस से समझौता करने और रूट को ऊंचाई देने की आवश्यकता होती है, इसलिए इसे इसके बजाय उच्च गंभीरता के रूप में रेट किया जाता है।
| सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2411 | एंड्रॉइड-26866053* | उच्च | 6.0, 6.0.1 | जनवरी 28, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
System_server में विशेषाधिकार भेद्यता का उन्नयन
System_server में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2412 | एंड्रॉइड-26593930 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 15, 2016 |
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
मीडियासर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2413 | एंड्रॉइड-26403627 | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 5, 2016 |
मिनिकिन में सेवा भेद्यता से इनकार
मिनिकिन लाइब्रेरी में सेवा भेद्यता से इनकार एक स्थानीय हमलावर को एक प्रभावित डिवाइस तक पहुंच को अस्थायी रूप से अवरुद्ध करने की अनुमति दे सकता है। एक हमलावर एक अविश्वसनीय फ़ॉन्ट को लोड करने का कारण बन सकता है और मिनिकिन घटक में अतिप्रवाह का कारण बन सकता है, जिससे दुर्घटना हो सकती है। इसे उच्च गंभीरता के रूप में दर्जा दिया गया है क्योंकि सेवा से इनकार करने से निरंतर रिबूट लूप होगा।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2414 | एंड्रॉइड-26413177 [ 2 ] | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | नवंबर 3, 2015 |
Exchange ActiveSync में सूचना प्रकटीकरण सुभेद्यता
एक्सचेंज एक्टिवसिंक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि यह संरक्षित डेटा तक दूरस्थ पहुंच की अनुमति देता है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2415 | एंड्रॉइड-26488455 | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 जनवरी 2016 |
Mediaserver में सूचना प्रकटीकरण भेद्यता
Mediaserver में एक सूचना प्रकटीकरण भेद्यता प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ कीड़े | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2416 | एंड्रॉइड-27046057 [ 2 ] | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 5, 2016 |
| सीवीई-2016-2417 | एंड्रॉइड-26914474 | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 1, 2016 |
| सीवीई-2016-2418 | एंड्रॉइड-26324358 | उच्च | 6.0, 6.0.1 | दिसंबर 24, 2015 |
| सीवीई-2016-2419 | एंड्रॉइड-26323455 | उच्च | 6.0, 6.0.1 | दिसंबर 24, 2015 |
डीबगर घटक में विशेषाधिकार भेद्यता का उन्नयन
डीबगर घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमाना कोड निष्पादित करने में सक्षम कर सकता है जिससे स्थायी डिवाइस समझौता हो सकता है। नतीजतन, ऑपरेटिंग सिस्टम को फिर से फ्लैश करके डिवाइस को संभवतः मरम्मत करने की आवश्यकता होगी। आम तौर पर इस तरह के एक कोड निष्पादन बग को क्रिटिकल के रूप में रेट किया जाएगा, लेकिन क्योंकि यह केवल एंड्रॉइड वर्जन 4.4.4 में सिस्टम से रूट तक विशेषाधिकार के उन्नयन को सक्षम बनाता है, इसे इसके बजाय मॉडरेट के रूप में रेट किया गया है। Android संस्करण 5.0 और इसके बाद के संस्करण में, SELinux नियम तृतीय-पक्ष एप्लिकेशन को प्रभावित कोड तक पहुंचने से रोकते हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2420 | एंड्रॉइड-26403620 [ 2 ] | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जनवरी 5, 2016 |
सेटअप विज़ार्ड में विशेषाधिकार भेद्यता का उन्नयन
सेटअप विज़ार्ड में एक भेद्यता एक हमलावर को फ़ैक्टरी रीसेट सुरक्षा को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकती है। इसे मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि यह संभावित रूप से किसी डिवाइस को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की अनुमति देता है, जो एक हमलावर को सभी डेटा को मिटाते हुए डिवाइस को सफलतापूर्वक रीसेट करने में सक्षम बनाता है।
| सीवीई | कीड़ा | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2421 | एंड्रॉइड-26154410* | संतुलित | 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी रिलीज़ में शामिल है।
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2422 | एंड्रॉइड-26324357 | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | दिसंबर 23, 2015 |
टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन
टेलीफोनी में एक भेद्यता एक हमलावर को फ़ैक्टरी रीसेट सुरक्षा को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकती है। इसे मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि यह संभावित रूप से किसी डिवाइस को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की अनुमति देता है, जो एक हमलावर को सभी डेटा को मिटाते हुए डिवाइस को सफलतापूर्वक रीसेट करने में सक्षम बनाता है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2423 | एंड्रॉइड-26303187 | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
SyncStorageEngine में सेवा भेद्यता से इनकार
SyncStorageEngine में सेवा सुरक्षाछिद्र की अस्वीकृति एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को रीबूट लूप का कारण बनने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग स्थानीय अस्थायी रूप से सेवा से इनकार करने के लिए किया जा सकता है जिसे फ़ैक्टरी रीसेट के बावजूद संभवतः ठीक करने की आवश्यकता होगी।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2424 | एंड्रॉइड-26513719 | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
एओएसपी मेल में सूचना प्रकटीकरण भेद्यता
एओएसपी मेल में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग "खतरनाक" अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ कीड़े | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2425 | एंड्रॉइड-26989185 | संतुलित | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 जनवरी 2016 |
| सीवीई-2016-2425 | एंड्रॉइड-7154234* | संतुलित | 5.0.2 | 29 जनवरी 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी रिलीज़ में शामिल है।
फ्रेमवर्क में सूचना प्रकटीकरण सुभेद्यता
फ्रेमवर्क घटक में एक सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक अनुचित तरीके से पहुंचने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | अद्यतन संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2426 | एंड्रॉइड-26094635 | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | दिसम्बर 8, 2015 |
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
2 अप्रैल, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए Nexus दस्तावेज़ देखें)। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-04-02]
2. यह सुरक्षा पैच स्तर 2 अप्रैल 2016 क्यों है?
मासिक सुरक्षा अद्यतन के लिए सुरक्षा पैच स्तर सामान्य रूप से महीने के पहले पर सेट होता है। अप्रैल के लिए, 1 अप्रैल, 2016 का सुरक्षा पैच स्तर इंगित करता है कि CVE-2015-1805 के अपवाद के साथ इस बुलेटिन में वर्णित सभी मुद्दों का समाधान किया गया है, जैसा कि Android सुरक्षा सलाहकार 2016-03-18 में वर्णित है। 2 अप्रैल, 2016 का एक सुरक्षा पैच स्तर इंगित करता है कि इस बुलेटिन में वर्णित सभी मुद्दों, जिनमें CVE-2015-1805 शामिल है, जैसा कि Android सुरक्षा सलाहकार 2016-03-18 में वर्णित है, का समाधान कर दिया गया है।
संशोधन
- अप्रैल 04, 2016: बुलेटिन प्रकाशित।
- 06 अप्रैल, 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- 07 अप्रैल, 2016: अतिरिक्त एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- 11 जुलाई 2016: सीवीई-2016-2427 का अद्यतन विवरण।
- अगस्त 01, 2016: सीवीई-2016-2427 . का अद्यतन विवरण
- 19 दिसंबर, 2016: CVE-2016-2427 को हटाने के लिए अपडेट किया गया, जिसे वापस कर दिया गया था।