Android सुरक्षा बुलेटिन—मई 2016

02 मई 2016 को प्रकाशित | 04 मई 2016 को अद्यतन किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 01 मई 2016 या उसके बाद के सुरक्षा पैच स्तर इन समस्याओं का समाधान करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें)।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 04 अप्रैल 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाएं

  • व्यापक फोकस को प्रतिबिंबित करने के लिए, हमने इस बुलेटिन (और श्रृंखला में निम्नलिखित सभी) का नाम बदलकर एंड्रॉइड सुरक्षा बुलेटिन कर दिया है। ये बुलेटिन कमजोरियों की एक विस्तृत श्रृंखला को शामिल करते हैं जो एंड्रॉइड डिवाइस को प्रभावित कर सकती हैं, भले ही वे नेक्सस डिवाइस को प्रभावित न करें।
  • हमने Android सुरक्षा गंभीरता रेटिंग अपडेट की है. ये परिवर्तन रिपोर्ट की गई सुरक्षा कमजोरियों पर पिछले छह महीनों में एकत्र किए गए डेटा का परिणाम थे और इसका उद्देश्य उपयोगकर्ताओं पर वास्तविक दुनिया के प्रभाव के साथ गंभीरता को अधिक निकटता से संरेखित करना था।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं तक नहीं पहुंचाते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-2454
  • e2e-एश्योर के एंडी टायलर ( @ticarpi ) : CVE-2016-2457
  • चियाचिह वू ( @chiachih_wu ) और C0RE टीम के ज़ुक्सियान जियांग: CVE-2016-2441, CVE-2016-2442
  • डज़मित्री लुक्यानेंका ( www.linkedin.com/in/dzima ): CVE-2016-2458
  • गैल बेनियामिनी: सीवीई-2016-2431
  • वुल्पेकर टीम के हाओ चेन, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-2456
  • फायरआई कंपनी, मैंडिएंट के जेक वैलेटा: CVE-2016-2060
  • आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के जियानकियांग झाओ ( @jianqiangzhao ) और पीजेएफ ( weibo.com/jfpan ): CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, सीवीई-2016-2442, सीवीई-2016-2444, सीवीई-2016-2445, सीवीई-2016-2446
  • सर्च-लैब लिमिटेड के इमरे रेड: सीवीई-2016-4477
  • Google के जेरेमी सी. जोसलिन: CVE-2016-2461
  • Google के केनी रूट: CVE-2016-2462
  • कीनलैब ( @keen_lab ) के मार्को ग्रासी ( @marcograss ), टेनसेंट: CVE-2016-2443
  • माइकल बेडनार्स्की ( https://github.com/michalbednarski ): CVE-2016-2440
  • मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-2459, CVE-2016-2460
  • अलीबाबा इंक. के वीचाओ सन ( @sunblate ): CVE-2016-2428, CVE-2016-2429
  • युआन-त्सुंग लो , लुबो झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियान जियांग: CVE-2016-2437
  • Baidu एक्स-लैब के यूलोंग झांग और ताओ (लेनक्स) वेई: CVE-2016-2439
  • Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-2430

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-05-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम समस्या को संबोधित करने वाले AOSP परिवर्तन को बग आईडी से लिंक करेंगे। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में एक भेद्यता एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती है।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से नहीं पहुंच सकते हैं।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2428 26751339 गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 जनवरी 2016
सीवीई-2016-2429 27211885 गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 16, 2016

डिबगर्ड में विशेषाधिकार भेद्यता का उन्नयन

एकीकृत एंड्रॉइड डिबगर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एंड्रॉइड डिबगर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2430 27299236 गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 22, 2016

क्वालकॉम ट्रस्टज़ोन में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम ट्रस्टज़ोन घटक में विशेषाधिकार भेद्यता का बढ़ना एक सुरक्षित स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ट्रस्टज़ोन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2431 24968809* गंभीर नेक्सस 5, नेक्सस 6, नेक्सस 7 (2013), एंड्रॉइड वन 15 अक्टूबर 2015
सीवीई-2016-2432 25913059* गंभीर नेक्सस 6, एंड्रॉइड वन 28 नवंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय विशेषाधिकार वृद्धि और मनमाने ढंग से कोड निष्पादन की संभावना के कारण स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-0569 26754117* गंभीर नेक्सस 5एक्स, नेक्सस 7 (2013) 23 जनवरी 2016
सीवीई-2015-0570 26764809* गंभीर नेक्सस 5एक्स, नेक्सस 7 (2013) 25 जनवरी 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2434 27251090* गंभीर नेक्सस 9 फ़रवरी 17, 2016
सीवीई-2016-2435 27297988* गंभीर नेक्सस 9 20 फ़रवरी 2016
सीवीई-2016-2436 27299111* गंभीर नेक्सस 9 फ़रवरी 22, 2016
सीवीई-2016-2437 27436822* गंभीर नेक्सस 9 मार्च 1, 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय विशेषाधिकार वृद्धि और मनमाने ढंग से कोड निष्पादन की संभावना के कारण स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है। इस समस्या का वर्णन Android सुरक्षा सलाहकार 2016-03-18 में किया गया था।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-1805 27275324* गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9 19 फ़रवरी 2016

* AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 3.14 , 3.10 , और 3.4

कर्नेल में रिमोट कोड निष्पादन भेद्यता

ऑडियो सबसिस्टम में एक रिमोट कोड निष्पादन भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि ऑडियो सबसिस्टम को कॉल करने के लिए पहले इसे एक विशेषाधिकार प्राप्त सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे उच्च गंभीरता का दर्जा दिया जाता है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2438 26636060* उच्च नेक्सस 9 गूगल आंतरिक

* इस समस्या का पैच लिनक्स अपस्ट्रीम में उपलब्ध है।

क्वालकॉम टेथरिंग नियंत्रक में सूचना प्रकटीकरण भेद्यता

क्वालकॉम टेथरिंग नियंत्रक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के विशेषाधिकारों के बिना व्यक्तिगत पहचान योग्य जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2060 27942588* उच्च कोई नहीं मार्च 23, 2016

* इस समस्या का पैच AOSP में नहीं है। अद्यतन प्रभावित उपकरणों के नवीनतम ड्राइवरों में शामिल होना चाहिए।

ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता

ब्लूटूथ डिवाइस की पेयरिंग के दौरान, ब्लूटूथ में एक भेद्यता समीपस्थ हमलावर को पेयरिंग प्रक्रिया के दौरान मनमाना कोड निष्पादित करने की अनुमति दे सकती है। ब्लूटूथ डिवाइस के आरंभीकरण के दौरान रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2439 27411268 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 28, 2016

बाइंडर में विशेषाधिकार भेद्यता का उन्नयन

बाइंडर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को किसी अन्य ऐप की प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति दे सकता है। मेमोरी को मुक्त करते समय, बाइंडर में एक भेद्यता एक हमलावर को स्थानीय कोड निष्पादन का कारण बनने की अनुमति दे सकती है। बाइंडर में मुफ्त मेमोरी प्रक्रिया के दौरान स्थानीय कोड निष्पादन की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2440 27252896 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 18, 2016

क्वालकॉम Buspm ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम बसपीएम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके, इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2441 26354602* उच्च नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 30 दिसंबर 2015
सीवीई-2016-2442 26494907* उच्च नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 30 दिसंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम एमडीपी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम एमडीपी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके, इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2443 26404525* उच्च नेक्सस 5, नेक्सस 7 (2013) 5 जनवरी 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई घटक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के विशेषाधिकारों के बिना डिवाइस सेटिंग्स और व्यवहार को बदलने वाले सिस्टम कॉल को लागू करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-0571 26763920* उच्च नेक्सस 5एक्स, नेक्सस 7 (2013) 25 जनवरी 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि पहले ड्राइवर को कॉल करने के लिए एक उच्च विशेषाधिकार सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे उच्च गंभीरता का दर्जा दिया जाता है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2444 27208332* उच्च नेक्सस 9 फ़रवरी 16, 2016
सीवीई-2016-2445 27253079* उच्च नेक्सस 9 फ़रवरी 17, 2016
सीवीई-2016-2446 27441354* उच्च नेक्सस 9 मार्च 1, 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना

वाई-फ़ाई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार जैसी उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

ध्यान दें : सीवीई नंबर को MITER अनुरोध के अनुसार CVE-2016-2447 से CVE-2016-4477 में अपडेट कर दिया गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-4477 27371366 [ 2 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 फरवरी 2016

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2448 27533704 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 मार्च 2016
सीवीई-2016-2449 27568958 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 9, 2016
सीवीई-2016-2450 27569635 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 9, 2016
सीवीई-2016-2451 27597103 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 10, 2016
सीवीई-2016-2452 27662364 [ 2 ] [ 3 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 14, 2016

मीडियाटेक वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके, इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2453 27549705* उच्च एंड्रॉयड वन मार्च 8, 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम हार्डवेयर कोडेक में सेवा भेद्यता का दूरस्थ अस्वीकरण

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, क्वालकॉम हार्डवेयर वीडियो कोडेक में सेवा भेद्यता का एक दूरस्थ इनकार एक दूरस्थ हमलावर को डिवाइस रीबूट के कारण प्रभावित डिवाइस तक पहुंच को अवरुद्ध करने की अनुमति दे सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इसे उच्च गंभीरता का दर्जा दिया गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2454 26221024* उच्च नेक्सस 5 16 दिसंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कॉन्स्क्रिप्ट में विशेषाधिकार भेद्यता का बढ़ना

कॉन्स्क्रिप्ट में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय एप्लिकेशन को यह विश्वास करने की अनुमति दे सकता है कि एक संदेश प्रमाणित था जबकि ऐसा नहीं था। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसके लिए कई उपकरणों में समन्वित चरणों की आवश्यकता होती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2461 27324690 [ 2 ] मध्यम सभी नेक्सस 6.0, 6.0.1 गूगल आंतरिक
सीवीई-2016-2462 27371173 मध्यम सभी नेक्सस 6.0, 6.0.1 गूगल आंतरिक

ओपनएसएसएल और बोरिंगएसएसएल में विशेषाधिकार भेद्यता का बढ़ना

ओपनएसएसएल और बोरिंगएसएसएल में विशेषाधिकार भेद्यता में वृद्धि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। आम तौर पर इसे उच्च रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए एक असामान्य मैन्युअल कॉन्फ़िगरेशन की आवश्यकता होती है, इसलिए इसे मध्यम गंभीरता के रूप में रेट किया गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-0705 27449871 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 7, 2016

मीडियाटेक वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन सेवा से इनकार कर सकता है। आम तौर पर इस तरह के विशेषाधिकार बग की ऊंचाई को उच्च दर्जा दिया जाएगा, लेकिन क्योंकि इसके लिए पहले सिस्टम सेवा से समझौता करना आवश्यक है, इसलिए इसे मध्यम गंभीरता के रूप में दर्जा दिया गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2456 27275187* मध्यम एंड्रॉयड वन 19 फ़रवरी 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना

वाई-फाई में विशेषाधिकार भेद्यता बढ़ने से अतिथि खाता प्राथमिक उपयोगकर्ता के लिए बनी वाई-फाई सेटिंग्स को संशोधित करने में सक्षम हो सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि यह बिना अनुमति के " खतरनाक " क्षमताओं तक स्थानीय पहुंच को सक्षम बनाता है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2457 27411179 मध्यम सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 29, 2016

AOSP मेल में सूचना प्रकटीकरण भेद्यता

AOSP मेल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के अनुचित तरीके से डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2458 27335139 [ 2 ] मध्यम सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 23, 2016

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के अनुचित तरीके से डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2459 27556038 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 मार्च 2016
सीवीई-2016-2460 27555981 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 मार्च 2016

कर्नेल में सेवा भेद्यता का खंडन

कर्नेल में सेवा भेद्यता का खंडन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रीबूट का कारण बनने की अनुमति दे सकता है। इस समस्या को निम्न गंभीरता का दर्जा दिया गया है क्योंकि इसका प्रभाव सेवा का अस्थायी अस्वीकरण है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-0774 27721803* कम सभी नेक्सस मार्च 17, 2016

* इस समस्या का पैच लिनक्स अपस्ट्रीम में उपलब्ध है।

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

01 मई 2016 या उसके बाद के सुरक्षा पैच स्तर इन समस्याओं का समाधान करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें)। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-05-01]

2. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से नेक्सस डिवाइस प्रभावित हैं?

सुरक्षा भेद्यता विवरण अनुभाग में, प्रत्येक तालिका में एक अपडेटेड नेक्सस डिवाइस कॉलम होता है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित करती है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में सभी नेक्सस होंगे। सभी नेक्सस निम्नलिखित समर्थित डिवाइसों को समाहित करते हैं: नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
  • कुछ नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित नेक्सस डिवाइस अपडेटेड नेक्सस डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई नेक्सस डिवाइस नहीं : यदि कोई नेक्सस डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "कोई नहीं" होगा।

3. CVE-2015-1805 को इस बुलेटिन में क्यों शामिल किया गया है?

CVE-2015-1805 को इस बुलेटिन में शामिल किया गया है क्योंकि Android सुरक्षा सलाहकार—2016-03-18 को अप्रैल बुलेटिन के रिलीज़ होने के बहुत करीब प्रकाशित किया गया था। तंग समयसीमा के कारण, डिवाइस निर्माताओं को नेक्सस सिक्योरिटी बुलेटिन-अप्रैल 2016 से सीवीई-2015-1805 के लिए फिक्स के बिना फिक्स भेजने का विकल्प दिया गया था, अगर वे 01 अप्रैल, 2016 सिक्योरिटी पैच लेवल का उपयोग करते थे। इसे इस बुलेटिन में फिर से शामिल किया गया है क्योंकि 01 मई 2016 सुरक्षा पैच स्तर का उपयोग करने के लिए इसे ठीक किया जाना चाहिए।

संशोधन

  • 02 मई 2016: बुलेटिन प्रकाशित।
  • 04 मई 2016:
    • एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
    • नेक्सस प्लेयर और पिक्सेल सी को शामिल करने के लिए अद्यतन किए गए सभी नेक्सस उपकरणों की सूची।
    • MITER अनुरोध के अनुसार CVE-2016-2447 को CVE-2016-4477 में अद्यतन किया गया।