02 मई 2016 को प्रकाशित | 04 मई 2016 को अपडेट किया गया
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। मई 01, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ीकरण देखें)।
भागीदारों को 04 अप्रैल, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।
इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाओं
- व्यापक फोकस को प्रतिबिंबित करने के लिए, हमने इस बुलेटिन (और श्रृंखला में निम्नलिखित सभी) का नाम बदलकर Android सुरक्षा बुलेटिन कर दिया। इन बुलेटिनों में व्यापक रेंज की भेद्यताएं शामिल हैं जो Android उपकरणों को प्रभावित कर सकती हैं, भले ही वे Nexus डिवाइस को प्रभावित न करें।
- हमने Android सुरक्षा गंभीरता रेटिंग को अपडेट किया है। ये परिवर्तन पिछले छह महीनों में रिपोर्ट की गई सुरक्षा कमजोरियों पर एकत्र किए गए डेटा का परिणाम थे और इसका उद्देश्य उपयोगकर्ताओं के लिए वास्तविक दुनिया के प्रभाव के साथ गंभीरता को अधिक निकटता से संरेखित करना था।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
- जैसा उचित हो, Google Hangouts और Messenger एप्लिकेशन मीडिया को मीडिया सर्वर जैसी प्रक्रियाओं में स्वचालित रूप से नहीं भेजते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-2454
- e2e- assure के एंडी टायलर ( @ticarpi ) : CVE-2016-2457
- चियाचिह वू ( @chiachih_wu ) और C0RE टीम के जुक्सियन जियांग: CVE-2016-2441, CVE-2016-2442
- ज़मित्री लुक्यानेंका ( www.linkedin.com/in/dzima ): सीवीई-2016-2458
- गैल बेनियामिनी: सीवीई-2016-2431
- वूल्पेकर टीम के हाओ चेन, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-2456
- मैंडिएंट के जेक वैलेटा, एक फायरआई कंपनी: सीवीई-2016-2060
- जियानकियांग झाओ ( @jianqiangzhao ) और pjf ( weibo.com/jfpan ) IceSword Lab, Qihoo 360 Technology Co. Ltd: CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, सीवीई-2016-2442, सीवीई-2016-2444, सीवीई-2016-2445, सीवीई-2016-2446
- सर्च-लैब लिमिटेड के इमरे रेड : सीवीई-2016-4477
- Google के जेरेमी सी. जोसलिन: CVE-2016-2461
- Google के केनी रूट: CVE-2016-2462
- कीनलैब ( @keen_lab ) के मार्को ग्रासी ( @marcograss ), Tencent: CVE-2016-2443
- माइकल बेडनार्स्की ( https://github.com/michalbednarski ): सीवीई-2016-2440
- मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-2459, CVE-2016-2460
- अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-2428, CVE-2016-2429
- युआन-त्सुंग लो , लुबो झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-2437
- Baidu X-Lab के यूलोंग झांग और ताओ (लेनक्स) वेई: CVE-2016-2439
- Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-2430
सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-05-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित बग, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम AOSP परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
Mediaserver में रिमोट कोड निष्पादन भेद्यता
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में एक भेद्यता एक हमलावर को मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन को मीडियासर्वर प्रक्रिया के रूप में करने की अनुमति दे सकती है।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में दर्जा दिया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2428 | 26751339 | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 जनवरी 2016 |
सीवीई-2016-2429 | 27211885 | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 16, 2016 |
Debuggerd में विशेषाधिकार भेद्यता का उन्नयन
एकीकृत एंड्रॉइड डीबगर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एंड्रॉइड डीबगर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2430 | 27299236 | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 22, 2016 |
क्वालकॉम ट्रस्टज़ोन में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम ट्रस्टज़ोन घटक में विशेषाधिकार भेद्यता का उन्नयन एक सुरक्षित स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ट्रस्टज़ोन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2431 | 24968809* | नाजुक | नेक्सस 5, नेक्सस 6, नेक्सस 7 (2013), एंड्रॉइड वन | 15 अक्टूबर 2015 |
सीवीई-2016-2432 | 25913059* | नाजुक | नेक्सस 6, एंड्रॉइड वन | नवंबर 28, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय विशेषाधिकार वृद्धि और मनमाने कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2015-0569 | 26754117* | नाजुक | Nexus 5X, Nexus 7 (2013) | जनवरी 23, 2016 |
सीवीई-2015-0570 | 26764809* | नाजुक | Nexus 5X, Nexus 7 (2013) | जनवरी 25, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2434 | 27251090* | नाजुक | नेक्सस 9 | फरवरी 17, 2016 |
सीवीई-2016-2435 | 27297988* | नाजुक | नेक्सस 9 | फ़रवरी 20, 2016 |
सीवीई-2016-2436 | 27299111* | नाजुक | नेक्सस 9 | फ़रवरी 22, 2016 |
सीवीई-2016-2437 | 27436822* | नाजुक | नेक्सस 9 | 1 मार्च 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय विशेषाधिकार वृद्धि और मनमाने कोड निष्पादन की संभावना के कारण स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है। इस समस्या का वर्णन Android सुरक्षा सलाहकार 2016-03-18 में किया गया था।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2015-1805 | 27275324* | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9 | फ़रवरी 19, 2016 |
* AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 3.14 , 3.10 , और 3.4 ।
कर्नेल में रिमोट कोड निष्पादन भेद्यता
ऑडियो सबसिस्टम में एक रिमोट कोड निष्पादन भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर इस तरह के एक कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि ऑडियो सबसिस्टम को कॉल करने के लिए इसे पहले एक विशेषाधिकार प्राप्त सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे उच्च गंभीरता का दर्जा दिया जाता है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2438 | 26636060* | उच्च | नेक्सस 9 | Google आंतरिक |
* इस मुद्दे के लिए पैच लिनक्स अपस्ट्रीम में उपलब्ध है।
क्वालकॉम टेथरिंग कंट्रोलर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम टेथरिंग कंट्रोलर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के विशेषाधिकारों के बिना व्यक्तिगत पहचान योग्य जानकारी तक पहुंचने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2060 | 27942588* | उच्च | कोई भी नहीं | मार्च 23, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन प्रभावित उपकरणों के नवीनतम ड्राइवरों में शामिल होना चाहिए।
ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता
ब्लूटूथ डिवाइस की पेयरिंग के दौरान, ब्लूटूथ में एक भेद्यता एक समीपस्थ हमलावर को पेयरिंग प्रक्रिया के दौरान मनमाना कोड निष्पादित करने की अनुमति दे सकती है। ब्लूटूथ डिवाइस के इनिशियलाइज़ेशन के दौरान रिमोट कोड के निष्पादन की संभावना के कारण इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2439 | 27411268 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 28, 2016 |
बाइंडर में विशेषाधिकार भेद्यता का उन्नयन
बाइंडर में विशेषाधिकार भेद्यता की वृद्धि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को किसी अन्य ऐप की प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति दे सकती है। स्मृति मुक्त करते समय, बाइंडर में एक भेद्यता एक हमलावर को स्थानीय कोड निष्पादन का कारण बन सकती है। बाइंडर में मुफ्त मेमोरी प्रक्रिया के दौरान स्थानीय कोड निष्पादन की संभावना के कारण इस समस्या को उच्च गंभीरता के रूप में दर्जा दिया गया है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2440 | 27252896 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 18, 2016 |
क्वालकॉम Buspm ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम बसपीएम ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के एक कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना पड़ता है जो ड्राइवर को कॉल कर सकती है, इसे उच्च गंभीरता के रूप में रेट किया गया है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2441 | 26354602* | उच्च | Nexus 5X, Nexus 6, Nexus 6P | दिसंबर 30, 2015 |
सीवीई-2016-2442 | 26494907* | उच्च | Nexus 5X, Nexus 6, Nexus 6P | दिसंबर 30, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम एमडीपी ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम एमडीपी ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के एक कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना पड़ता है जो ड्राइवर को कॉल कर सकती है, इसे उच्च गंभीरता के रूप में रेट किया गया है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2443 | 26404525* | उच्च | नेक्सस 5, नेक्सस 7 (2013) | जनवरी 5, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वाई-फाई घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के लिए विशेषाधिकारों के बिना डिवाइस सेटिंग्स और व्यवहार को बदलने वाले सिस्टम कॉल को आमंत्रित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2015-0571 | 26763920* | उच्च | Nexus 5X, Nexus 7 (2013) | जनवरी 25, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि ड्राइवर को कॉल करने के लिए पहले इसे उच्च विशेषाधिकार सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे उच्च गंभीरता का दर्जा दिया जाता है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2444 | 27208332* | उच्च | नेक्सस 9 | फरवरी 16, 2016 |
सीवीई-2016-2445 | 27253079* | उच्च | नेक्सस 9 | फरवरी 17, 2016 |
सीवीई-2016-2446 | 27441354* | उच्च | नेक्सस 9 | 1 मार्च 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों के लिए सुलभ नहीं हैं।
नोट : सीवीई-2016-2447 से सीवीई-2016-4477 तक सीवीई नंबर को एमआईटीईआर अनुरोध के अनुसार अपडेट किया गया है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-4477 | 27371366 [ 2 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 24, 2016 |
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
मीडियासर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2448 | 27533704 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 7, 2016 |
सीवीई-2016-2449 | 27568958 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 9, 2016 |
सीवीई-2016-2450 | 27569635 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 9, 2016 |
सीवीई-2016-2451 | 27597103 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 10, 2016 |
सीवीई-2016-2452 | 27662364 [ 2 ] [ 3 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 14, 2016 |
मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के एक कर्नेल कोड निष्पादन बग को क्रिटिकल रेट किया जाएगा, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना पड़ता है जो ड्राइवर को कॉल कर सकती है, इसे उच्च गंभीरता के रूप में रेट किया गया है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2453 | 27549705* | उच्च | एंड्रॉयड वन | मार्च 8, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम हार्डवेयर कोडेक में सेवा भेद्यता का दूरस्थ इनकार
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल की डेटा प्रोसेसिंग के दौरान, क्वालकॉम हार्डवेयर वीडियो कोडेक में सेवा भेद्यता का एक दूरस्थ इनकार एक दूरस्थ हमलावर को डिवाइस रीबूट करके किसी प्रभावित डिवाइस तक पहुंच को अवरुद्ध करने की अनुमति दे सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इसे उच्च गंभीरता के रूप में दर्जा दिया गया है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2454 | 26221024* | उच्च | नेक्सस 5 | दिसंबर 16, 2015 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कॉन्सक्रिप्ट में विशेषाधिकार भेद्यता का उन्नयन
कॉन्क्रिप्ट में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय एप्लिकेशन को यह विश्वास करने की अनुमति दे सकता है कि संदेश को प्रमाणित किया गया था जब वह नहीं था। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसके लिए कई उपकरणों में समन्वित चरणों की आवश्यकता होती है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2461 | 27324690 [ 2 ] | संतुलित | सभी नेक्सस | 6.0, 6.0.1 | Google आंतरिक |
सीवीई-2016-2462 | 27371173 | संतुलित | सभी नेक्सस | 6.0, 6.0.1 | Google आंतरिक |
ओपनएसएसएल और बोरिंगएसएसएल में विशेषाधिकार भेद्यता का उन्नयन
ओपनएसएसएल और बोरिंगएसएसएल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकता है। आम तौर पर इसे उच्च दर्जा दिया जाएगा, लेकिन क्योंकि इसके लिए असामान्य मैन्युअल कॉन्फ़िगरेशन की आवश्यकता होती है, इसलिए इसे मध्यम गंभीरता के रूप में रेट किया गया है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-0705 | 27449871 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 7, 2016 |
मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सेवा से वंचित करने के लिए सक्षम कर सकता है। आम तौर पर इस तरह के विशेषाधिकार बग की ऊंचाई को उच्च दर्जा दिया जाएगा, लेकिन क्योंकि इसके लिए पहले सिस्टम सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे मध्यम गंभीरता के रूप में दर्जा दिया जाता है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2456 | 27275187* | संतुलित | एंड्रॉयड वन | फ़रवरी 19, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन
वाई-फाई में विशेषाधिकार भेद्यता की वृद्धि एक अतिथि खाते को वाई-फाई सेटिंग्स को संशोधित करने में सक्षम कर सकती है जो प्राथमिक उपयोगकर्ता के लिए बनी रहती है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि यह अनुमति के बिना " खतरनाक " क्षमताओं तक स्थानीय पहुंच को सक्षम बनाता है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2457 | 27411179 | संतुलित | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 29, 2016 |
एओएसपी मेल में सूचना प्रकटीकरण भेद्यता
एओएसपी मेल में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा को अनुचित तरीके से एक्सेस करने के लिए किया जा सकता है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2458 | 27335139 [ 2 ] | संतुलित | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 23, 2016 |
Mediaserver में सूचना प्रकटीकरण भेद्यता
Mediaserver में एक सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा को अनुचित तरीके से एक्सेस करने के लिए किया जा सकता है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2459 | 27556038 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 7, 2016 |
सीवीई-2016-2460 | 27555981 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 7, 2016 |
कर्नेल में सेवा भेद्यता से इनकार
कर्नेल में सेवा सुरक्षाछिद्र की अस्वीकृति एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रीबूट करने की अनुमति दे सकती है। इस समस्या को कम गंभीरता के रूप में रेट किया गया है क्योंकि प्रभाव सेवा की अस्थायी अस्वीकृति है।
सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-0774 | 27721803* | कम | सभी नेक्सस | मार्च 17, 2016 |
* इस मुद्दे के लिए पैच लिनक्स अपस्ट्रीम में उपलब्ध है।
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
मई 01, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ीकरण देखें)। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-05-01]
2. मैं कैसे निर्धारित करूं कि प्रत्येक मुद्दे से कौन से Nexus डिवाइस प्रभावित हैं?
सुरक्षा भेद्यता विवरण अनुभाग में, प्रत्येक तालिका में एक अद्यतन नेक्सस डिवाइस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइस की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी Nexus डिवाइस : यदि कोई समस्या सभी Nexus डिवाइस को प्रभावित करती है, तो तालिका में अपडेट किए गए Nexus डिवाइस कॉलम में All Nexus होगा. सभी नेक्सस निम्नलिखित समर्थित उपकरणों को इनकैप्सुलेट करते हैं: नेक्सस 5, नेक्सस 5 एक्स, नेक्सस 6, नेक्सस 6 पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
- कुछ Nexus डिवाइस : यदि कोई समस्या सभी Nexus डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Nexus डिवाइस अपडेट किए गए Nexus डिवाइस कॉलम में सूचीबद्ध होते हैं.
- कोई Nexus डिवाइस नहीं : यदि कोई Nexus डिवाइस इस समस्या से प्रभावित नहीं हैं, तो तालिका में अपडेट किए गए Nexus डिवाइस कॉलम में "कोई नहीं" होगा।
3. सीवीई-2015-1805 को इस बुलेटिन में क्यों शामिल किया गया है?
CVE-2015-1805 को इस बुलेटिन में शामिल किया गया है क्योंकि Android सुरक्षा सलाहकार-2016-03-18 अप्रैल बुलेटिन के जारी होने के बहुत करीब प्रकाशित हुआ था। तंग समयरेखा के कारण, डिवाइस निर्माताओं को नेक्सस सुरक्षा बुलेटिन-अप्रैल 2016 से सीवीई-2015-1805 के फिक्स के बिना फिक्स शिप करने का विकल्प दिया गया था, अगर वे 01 अप्रैल, 2016 सुरक्षा पैच स्तर का उपयोग करते थे। इसे इस बुलेटिन में फिर से शामिल किया गया है क्योंकि इसे 01 मई, 2016 सुरक्षा पैच स्तर का उपयोग करने के लिए निश्चित किया जाना चाहिए।
संशोधन
- 02 मई 2016: बुलेटिन प्रकाशित।
- मई 04, 2016:
- AOSP लिंक्स को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- नेक्सस प्लेयर और पिक्सेल सी को शामिल करने के लिए अपडेट किए गए सभी नेक्सस उपकरणों की सूची।
- CVE-2016-2447 CVE-2016-4477 में अपडेट किया गया, प्रति MITER अनुरोध।