Android सुरक्षा बुलेटिन—मई 2016

02 मई 2016 को प्रकाशित | 04 मई 2016 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। मई 01, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ीकरण देखें)।

भागीदारों को 04 अप्रैल, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाओं

  • व्यापक फोकस को प्रतिबिंबित करने के लिए, हमने इस बुलेटिन (और श्रृंखला में निम्नलिखित सभी) का नाम बदलकर Android सुरक्षा बुलेटिन कर दिया। इन बुलेटिनों में व्यापक रेंज की भेद्यताएं शामिल हैं जो Android उपकरणों को प्रभावित कर सकती हैं, भले ही वे Nexus डिवाइस को प्रभावित न करें।
  • हमने Android सुरक्षा गंभीरता रेटिंग को अपडेट किया है। ये परिवर्तन पिछले छह महीनों में रिपोर्ट की गई सुरक्षा कमजोरियों पर एकत्र किए गए डेटा का परिणाम थे और इसका उद्देश्य उपयोगकर्ताओं के लिए वास्तविक दुनिया के प्रभाव के साथ गंभीरता को अधिक निकटता से संरेखित करना था।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
  • जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-2454
  • e2e- assure के एंडी टायलर ( @ticarpi ) : CVE-2016-2457
  • चियाचिह वू ( @chiachih_wu ) और C0RE टीम के जुक्सियन जियांग: CVE-2016-2441, CVE-2016-2442
  • ज़मित्री लुक्यानेंका ( www.linkedin.com/in/dzima ): सीवीई-2016-2458
  • गैल बेनियामिनी: सीवीई-2016-2431
  • वूल्पेकर टीम के हाओ चेन, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-2456
  • मैंडिएंट के जेक वैलेटा, एक फायरआई कंपनी: सीवीई-2016-2060
  • जियानकियांग झाओ ( @jianqiangzhao ) और pjf ( weibo.com/jfpan ) IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, सीवीई-2016-2442, सीवीई-2016-2444, सीवीई-2016-2445, सीवीई-2016-2446
  • सर्च-लैब लिमिटेड के इमरे रेड : सीवीई-2016-4477
  • Google के जेरेमी सी. जोसलिन: CVE-2016-2461
  • Google के केनी रूट: CVE-2016-2462
  • कीनलैब ( @keen_lab ) के मार्को ग्रासी ( @marcograss ), Tencent: CVE-2016-2443
  • माइकल बेडनार्स्की ( https://github.com/michalbednarski ): सीवीई-2016-2440
  • मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-2459, CVE-2016-2460
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-2428, CVE-2016-2429
  • युआन-त्सुंग लो , लुबो झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-2437
  • Baidu X-Lab के यूलोंग झांग और ताओ (लेनक्स) वेई: CVE-2016-2439
  • Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-2430

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-05-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित बग, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम AOSP परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में एक भेद्यता एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती है।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2428 26751339 नाजुक सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 जनवरी 2016
सीवीई-2016-2429 27211885 नाजुक सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फरवरी 16, 2016

Debuggerd में विशेषाधिकार भेद्यता का उन्नयन

एकीकृत एंड्रॉइड डीबगर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एंड्रॉइड डीबगर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2430 27299236 नाजुक सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 22, 2016

क्वालकॉम ट्रस्टज़ोन में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम ट्रस्टज़ोन घटक में विशेषाधिकार भेद्यता का उन्नयन एक सुरक्षित स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ट्रस्टज़ोन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2431 24968809* नाजुक नेक्सस 5, नेक्सस 6, नेक्सस 7 (2013), एंड्रॉइड वन 15 अक्टूबर 2015
सीवीई-2016-2432 25913059* नाजुक नेक्सस 6, एंड्रॉइड वन नवंबर 28, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय विशेषाधिकार वृद्धि और मनमाने कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2015-0569 26754117* नाजुक Nexus 5X, Nexus 7 (2013) जनवरी 23, 2016
सीवीई-2015-0570 26764809* नाजुक Nexus 5X, Nexus 7 (2013) जनवरी 25, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2434 27251090* नाजुक नेक्सस 9 फरवरी 17, 2016
सीवीई-2016-2435 27297988* नाजुक नेक्सस 9 फ़रवरी 20, 2016
सीवीई-2016-2436 27299111* नाजुक नेक्सस 9 फ़रवरी 22, 2016
सीवीई-2016-2437 27436822* नाजुक नेक्सस 9 1 मार्च 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय विशेषाधिकार वृद्धि और मनमाने कोड निष्पादन की संभावना के कारण स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है। इस समस्या का वर्णन Android सुरक्षा सलाहकार 2016-03-18 में किया गया था।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2015-1805 27275324* नाजुक Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 फ़रवरी 19, 2016

* AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 3.14 , 3.10 , और 3.4

कर्नेल में रिमोट कोड निष्पादन भेद्यता

ऑडियो सबसिस्टम में एक रिमोट कोड निष्पादन भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर इस तरह के एक कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि ऑडियो सबसिस्टम को कॉल करने के लिए इसे पहले एक विशेषाधिकार प्राप्त सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे उच्च गंभीरता का दर्जा दिया जाता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2438 26636060* उच्च नेक्सस 9 Google आंतरिक

* इस मुद्दे के लिए पैच लिनक्स अपस्ट्रीम में उपलब्ध है।

क्वालकॉम टेथरिंग कंट्रोलर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम टेथरिंग कंट्रोलर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के विशेषाधिकारों के बिना व्यक्तिगत पहचान योग्य जानकारी तक पहुंचने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2060 27942588* उच्च कोई भी नहीं मार्च 23, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन प्रभावित उपकरणों के नवीनतम ड्राइवरों में शामिल होना चाहिए।

ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता

ब्लूटूथ डिवाइस की पेयरिंग के दौरान, ब्लूटूथ में एक भेद्यता एक समीपस्थ हमलावर को पेयरिंग प्रक्रिया के दौरान मनमाना कोड निष्पादित करने की अनुमति दे सकती है। ब्लूटूथ डिवाइस के इनिशियलाइज़ेशन के दौरान रिमोट कोड के निष्पादन की संभावना के कारण इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2439 27411268 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 28, 2016

बाइंडर में विशेषाधिकार भेद्यता का उन्नयन

बाइंडर में विशेषाधिकार भेद्यता की वृद्धि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को किसी अन्य ऐप की प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति दे सकती है। स्मृति मुक्त करते समय, बाइंडर में एक भेद्यता एक हमलावर को स्थानीय कोड निष्पादन का कारण बन सकती है। बाइंडर में मुफ्त मेमोरी प्रक्रिया के दौरान स्थानीय कोड निष्पादन की संभावना के कारण इस समस्या को उच्च गंभीरता के रूप में दर्जा दिया गया है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2440 27252896 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 18, 2016

क्वालकॉम Buspm ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम बसपीएम ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के एक कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना पड़ता है जो ड्राइवर को कॉल कर सकती है, इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2441 26354602* उच्च Nexus 5X, Nexus 6, Nexus 6P दिसंबर 30, 2015
सीवीई-2016-2442 26494907* उच्च Nexus 5X, Nexus 6, Nexus 6P दिसंबर 30, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम एमडीपी ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम एमडीपी ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के एक कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना पड़ता है जो ड्राइवर को कॉल कर सकती है, इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2443 26404525* उच्च नेक्सस 5, नेक्सस 7 (2013) जनवरी 5, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वाई-फाई घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के लिए विशेषाधिकारों के बिना डिवाइस सेटिंग्स और व्यवहार को बदलने वाले सिस्टम कॉल को आमंत्रित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2015-0571 26763920* उच्च Nexus 5X, Nexus 7 (2013) जनवरी 25, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि ड्राइवर को कॉल करने के लिए पहले इसे उच्च विशेषाधिकार सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे उच्च गंभीरता का दर्जा दिया जाता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2444 27208332* उच्च नेक्सस 9 फरवरी 16, 2016
सीवीई-2016-2445 27253079* उच्च नेक्सस 9 फरवरी 17, 2016
सीवीई-2016-2446 27441354* उच्च नेक्सस 9 1 मार्च 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन

वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों के लिए सुलभ नहीं हैं।

नोट : सीवीई-2016-2447 से सीवीई-2016-4477 तक सीवीई नंबर को एमआईटीईआर अनुरोध के अनुसार अपडेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-4477 27371366 [ 2 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 24, 2016

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन

मीडियासर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2448 27533704 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 7, 2016
सीवीई-2016-2449 27568958 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 9, 2016
सीवीई-2016-2450 27569635 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 9, 2016
सीवीई-2016-2451 27597103 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 10, 2016
सीवीई-2016-2452 27662364 [ 2 ] [ 3 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 14, 2016

मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के एक कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना पड़ता है जो ड्राइवर को कॉल कर सकती है, इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2453 27549705* उच्च एंड्रॉयड वन मार्च 8, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम हार्डवेयर कोडेक में सेवा भेद्यता का दूरस्थ इनकार

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल की डेटा प्रोसेसिंग के दौरान, क्वालकॉम हार्डवेयर वीडियो कोडेक में सेवा भेद्यता का एक दूरस्थ इनकार एक दूरस्थ हमलावर को डिवाइस रीबूट करके किसी प्रभावित डिवाइस तक पहुंच को अवरुद्ध करने की अनुमति दे सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इसे उच्च गंभीरता के रूप में दर्जा दिया गया है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2454 26221024* उच्च नेक्सस 5 दिसंबर 16, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कॉन्सक्रिप्ट में विशेषाधिकार भेद्यता का उन्नयन

कॉन्क्रिप्ट में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय एप्लिकेशन को यह विश्वास करने की अनुमति दे सकता है कि संदेश को प्रमाणित किया गया था जब वह नहीं था। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसके लिए कई उपकरणों में समन्वित चरणों की आवश्यकता होती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2461 27324690 [ 2 ] संतुलित सभी नेक्सस 6.0, 6.0.1 Google आंतरिक
सीवीई-2016-2462 27371173 संतुलित सभी नेक्सस 6.0, 6.0.1 Google आंतरिक

ओपनएसएसएल और बोरिंगएसएसएल में विशेषाधिकार भेद्यता का उन्नयन

ओपनएसएसएल और बोरिंगएसएसएल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकता है। आम तौर पर इसे उच्च दर्जा दिया जाएगा, लेकिन क्योंकि इसके लिए असामान्य मैन्युअल कॉन्फ़िगरेशन की आवश्यकता होती है, इसलिए इसे मध्यम गंभीरता के रूप में रेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-0705 27449871 संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 7, 2016

मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सेवा से वंचित करने के लिए सक्षम कर सकता है। आम तौर पर इस तरह के विशेषाधिकार बग की ऊंचाई को उच्च दर्जा दिया जाएगा, लेकिन क्योंकि इसके लिए पहले सिस्टम सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे मध्यम गंभीरता के रूप में दर्जा दिया जाता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2456 27275187* संतुलित एंड्रॉयड वन फ़रवरी 19, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन

वाई-फाई में विशेषाधिकार भेद्यता की वृद्धि एक अतिथि खाते को वाई-फाई सेटिंग्स को संशोधित करने में सक्षम कर सकती है जो प्राथमिक उपयोगकर्ता के लिए बनी रहती है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि यह अनुमति के बिना " खतरनाक " क्षमताओं तक स्थानीय पहुंच को सक्षम बनाता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2457 27411179 संतुलित सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 फरवरी 29, 2016

एओएसपी मेल में सूचना प्रकटीकरण भेद्यता

एओएसपी मेल में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा को अनुचित तरीके से एक्सेस करने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2458 27335139 [ 2 ] संतुलित सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 23, 2016

Mediaserver में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा को अनुचित तरीके से एक्सेस करने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2459 27556038 संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 7, 2016
सीवीई-2016-2460 27555981 संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 7, 2016

कर्नेल में सेवा भेद्यता से इनकार

कर्नेल में सेवा सुरक्षाछिद्र की अस्वीकृति एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रीबूट करने की अनुमति दे सकती है। इस समस्या को कम गंभीरता के रूप में रेट किया गया है क्योंकि प्रभाव सेवा की अस्थायी अस्वीकृति है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-0774 27721803* कम सभी नेक्सस मार्च 17, 2016

* इस मुद्दे के लिए पैच लिनक्स अपस्ट्रीम में उपलब्ध है।

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

मई 01, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ीकरण देखें)। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-05-01]

2. मैं कैसे निर्धारित करूं कि प्रत्येक मुद्दे से कौन से Nexus डिवाइस प्रभावित हैं?

सुरक्षा भेद्यता विवरण अनुभाग में, प्रत्येक तालिका में एक अद्यतन नेक्सस डिवाइस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइस की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी Nexus डिवाइस : यदि कोई समस्या सभी Nexus डिवाइस को प्रभावित करती है, तो तालिका में अपडेट किए गए Nexus डिवाइस कॉलम में All Nexus होगा. सभी नेक्सस निम्नलिखित समर्थित उपकरणों को इनकैप्सुलेट करते हैं: नेक्सस 5, नेक्सस 5 एक्स, नेक्सस 6, नेक्सस 6 पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
  • कुछ Nexus डिवाइस : यदि कोई समस्या सभी Nexus डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Nexus डिवाइस अपडेट किए गए Nexus डिवाइस कॉलम में सूचीबद्ध होते हैं.
  • कोई Nexus डिवाइस नहीं : यदि कोई Nexus डिवाइस इस समस्या से प्रभावित नहीं हैं, तो तालिका में अपडेट किए गए Nexus डिवाइस कॉलम में "कोई नहीं" होगा।

3. सीवीई-2015-1805 को इस बुलेटिन में क्यों शामिल किया गया है?

CVE-2015-1805 को इस बुलेटिन में शामिल किया गया है क्योंकि Android सुरक्षा सलाहकार-2016-03-18 अप्रैल बुलेटिन के जारी होने के बहुत करीब प्रकाशित हुआ था। तंग समयरेखा के कारण, डिवाइस निर्माताओं को नेक्सस सुरक्षा बुलेटिन-अप्रैल 2016 से सीवीई-2015-1805 के फिक्स के बिना फिक्स शिप करने का विकल्प दिया गया था, अगर वे 01 अप्रैल, 2016 सुरक्षा पैच स्तर का उपयोग करते थे। इसे इस बुलेटिन में फिर से शामिल किया गया है क्योंकि इसे 01 मई, 2016 सुरक्षा पैच स्तर का उपयोग करने के लिए निश्चित किया जाना चाहिए।

संशोधन

  • 02 मई 2016: बुलेटिन प्रकाशित।
  • मई 04, 2016:
    • AOSP लिंक्स को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
    • नेक्सस प्लेयर और पिक्सेल सी को शामिल करने के लिए अपडेट किए गए सभी नेक्सस उपकरणों की सूची।
    • CVE-2016-2447 CVE-2016-4477 में अपडेट किया गया, प्रति MITER अनुरोध।