Android सुरक्षा बुलेटिन—जून 2016

06 जून 2016 को प्रकाशित | 08 जून 2016 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। जून 01, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए Nexus दस्तावेज़ देखें.

भागीदारों को 02 मई, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।

सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय कई तरीकों जैसे ईमेल, वेब ब्राउज़िंग और एमएमएस के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

Android और Google सेवा में कमी

यह Android सुरक्षा प्लेटफ़ॉर्म और सेवा सुरक्षा, जैसे कि SafetyNet द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
  • जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • कीनलैब ( @keen_lab ) के डि शेन ( @returnsme ), Tencent: CVE-2016-2468
  • गैल बेनियामिनी ( @laginimaineb ): CVE-2016-2476
  • आइसस्वॉर्ड लैब के गेंगजिया चेन ( @chengjia4574 ), pjf ( weibo.com/jfpan ) Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
  • मोबाइल सेफ टीम, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के हाओ चेन, गुआंग गोंग और वेनलिन यांग: सीवीई-2016-2470, सीवीई-2016-2471, सीवीई-2016-2472, सीवीई-2016-2473, सीवीई-2016- 2498
  • इवो ​​बनास : सीवीई-2016-2496
  • जियानकियांग झाओ ( @jianqiangzhao ) और pjf ( weibo.com/jfpan ) IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
  • Google के ली कैंपबेल: CVE-2016-2500
  • Google सुरक्षा टीम के Maciej Szawłowski: CVE-2016-2474
  • Google के मार्को नेलिसन और मैक्स स्पेक्टर: CVE-2016-2487
  • Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-2494
  • मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , सीवीई-2016-2482, सीवीई-2016-2483, सीवीई-2016-2484, सीवीई-2016-2485, सीवीई-2016-2486
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • वसीली वासिलिव: सीवीई-2016-2463
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-2495
  • Tencent सुरक्षा प्लेटफ़ॉर्म विभाग का ज़िलिंग गोंग: CVE-2016-2499
  • Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-2493

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-06-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और CVE के साथ एक तालिका, संबद्ध Android बग, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन AOSP संस्करण (जहां लागू हो), और रिपोर्ट की गई तिथि है। उपलब्ध होने पर, हम AOSP परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

Mediaserver में रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है। Mediaserver प्रक्रिया में ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2463 27855419 नाजुक सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 25, 2016

libwebm . में रिमोट कोड निष्पादन भेद्यताएं

libwebm के साथ रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है। Mediaserver प्रक्रिया में ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2464 23167726 [ 2 ] नाजुक सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2465 27407865* नाजुक Nexus 5, Nexus 5X, Nexus 6, Nexus 6P फ़रवरी 21, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2466 27947307* नाजुक नेक्सस 6 फरवरी 27, 2016
सीवीई-2016-2467 28029010* नाजुक नेक्सस 5 मार्च 13, 2014

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2468 27475454* नाजुक Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 2 मार्च 2016
सीवीई-2016-2062 27364029* नाजुक Nexus 5X, Nexus 6P मार्च 6, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2474 27424603* नाजुक नेक्सस 5X Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के लिए विशेषाधिकारों के बिना डिवाइस सेटिंग्स और व्यवहार को बदलने के लिए सिस्टम कॉल को आमंत्रित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2475 26425765* उच्च नेक्सस 5, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी जनवरी 6, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2066 26876409* उच्च Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 29 जनवरी 2016
सीवीई-2016-2469 27531992* उच्च Nexus 5, Nexus 6, Nexus 6P मार्च 4, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फरवरी 11, 2016
सीवीई-2016-2477 27251096 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फरवरी 17, 2016
सीवीई-2016-2478 27475409 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 3, 2016
सीवीई-2016-2479 27532282 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 6, 2016
सीवीई-2016-2480 27532721 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 6, 2016
सीवीई-2016-2481 27532497 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 6, 2016
सीवीई-2016-2482 27661749 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 14, 2016
सीवीई-2016-2483 27662502 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 14, 2016
सीवीई-2016-2484 27793163 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 मार्च 2016
सीवीई-2016-2485 27793367 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 मार्च 2016
सीवीई-2016-2486 27793371 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 मार्च 2016
सीवीई-2016-2487 27833616 [ 2 ] [ 3 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2061 27207747* उच्च Nexus 5X, Nexus 6P फरवरी 15, 2016
सीवीई-2016-2488 27600832* उच्च Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2489 27407629* उच्च Nexus 5, Nexus 5X, Nexus 6, Nexus 6P फ़रवरी 21, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि पहले ड्राइवर को कॉल करने के लिए किसी सेवा से समझौता करने की आवश्यकता होती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2490 27533373* उच्च नेक्सस 9 मार्च 6, 2016
सीवीई-2016-2491 27556408* उच्च नेक्सस 9 मार्च 8, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2470 27662174* उच्च नेक्सस 7 (2013) मार्च 13, 2016
सीवीई-2016-2471 27773913* उच्च नेक्सस 7 (2013) मार्च 19, 2016
सीवीई-2016-2472 27776888* उच्च नेक्सस 7 (2013) मार्च 20, 2016
सीवीई-2016-2473 27777501* उच्च नेक्सस 7 (2013) मार्च 20, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक पावर मैनेजमेंट ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक पावर मैनेजमेंट ड्राइवर में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले डिवाइस से समझौता करने की आवश्यकता होती है और ड्राइवर को कॉल करने के लिए रूट की ऊंचाई बढ़ाई जाती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2492 28085410* उच्च एंड्रॉयड वन अप्रैल 7, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

एसडी कार्ड इम्यूलेशन परत में विशेषाधिकार भेद्यता की ऊंचाई

एसडी कार्ड यूज़रस्पेस इम्यूलेशन लेयर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2494 28085658 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 7, 2016

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि पहले ड्राइवर को कॉल करने के लिए किसी सेवा से समझौता करने की आवश्यकता होती है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2493 26571522* उच्च नेक्सस 5, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस प्लेयर, पिक्सेल सी Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

Mediaserver में सेवा भेद्यता का दूरस्थ इनकार

Mediaserver में सेवा सुरक्षाछिद्र का एक दूरस्थ इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए एक डिवाइस हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2495 28076789 [ 2 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 6, 2016

फ्रेमवर्क UI में विशेषाधिकार भेद्यता का उन्नयन

फ्रेमवर्क UI अनुमति संवाद विंडो में विशेषाधिकार भेद्यता का उन्नयन एक हमलावर को निजी भंडारण में अनधिकृत फ़ाइलों तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2496 26677796 [ 2 ] [ 3 ] संतुलित सभी नेक्सस 6.0, 6.1 26 मई 2015

क्वालकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2498 27777162* संतुलित नेक्सस 7 (2013) मार्च 20, 2016

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

Mediaserver में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा एक्सेस करने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2499 27855172 संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 24, 2016

गतिविधि प्रबंधक में सूचना प्रकटीकरण भेद्यता

गतिविधि प्रबंधक घटक में एक सूचना प्रकटीकरण भेद्यता एक एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2500 19285814 संतुलित सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

जून 01, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ीकरण देखें)। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-06-01]

2. मैं कैसे निर्धारित करूं कि प्रत्येक मुद्दे से कौन से Nexus डिवाइस प्रभावित हैं?

सुरक्षा भेद्यता विवरण अनुभाग में, प्रत्येक तालिका में एक अद्यतन नेक्सस डिवाइस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइस की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइस को प्रभावित करती है, तो टेबल में अपडेटेड नेक्सस डिवाइस कॉलम में "ऑल नेक्सस" होगा। "ऑल नेक्सस" निम्नलिखित समर्थित डिवाइस को एनकैप्सुलेट करता है: नेक्सस 5, नेक्सस 5 एक्स, नेक्सस 6, नेक्सस 6 पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
  • कुछ Nexus डिवाइस : यदि कोई समस्या सभी Nexus डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Nexus डिवाइस अपडेट किए गए Nexus डिवाइस कॉलम में सूचीबद्ध होते हैं.
  • कोई Nexus डिवाइस नहीं : यदि कोई Nexus डिवाइस इस समस्या से प्रभावित नहीं हैं, तो तालिका में अपडेट किए गए Nexus डिवाइस कॉलम में "कोई नहीं" होगा।

संशोधन

  • 06 जून 2016: बुलेटिन प्रकाशित।
  • जून 07, 2016:
    • AOSP लिंक्स को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
    • CVE-2016-2496 को बुलेटिन से हटा दिया गया।
  • 08 जून, 2016: सीवीई-2016-2496 को बुलेटिन में वापस जोड़ा गया।