06 जून 2016 को प्रकाशित | 08 जून 2016 को अपडेट किया गया
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। जून 01, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए Nexus दस्तावेज़ देखें.
भागीदारों को 02 मई, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं।
सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय कई तरीकों जैसे ईमेल, वेब ब्राउज़िंग और एमएमएस के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
Android और Google सेवा में कमी
यह Android सुरक्षा प्लेटफ़ॉर्म और सेवा सुरक्षा, जैसे कि SafetyNet द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
- जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- कीनलैब ( @keen_lab ) के डि शेन ( @returnsme ), Tencent: CVE-2016-2468
- गैल बेनियामिनी ( @laginimaineb ): CVE-2016-2476
- आइसस्वॉर्ड लैब के गेंगजिया चेन ( @chengjia4574 ), pjf ( weibo.com/jfpan ) Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- मोबाइल सेफ टीम, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के हाओ चेन, गुआंग गोंग और वेनलिन यांग: सीवीई-2016-2470, सीवीई-2016-2471, सीवीई-2016-2472, सीवीई-2016-2473, सीवीई-2016- 2498
- इवो बनास : सीवीई-2016-2496
- जियानकियांग झाओ ( @jianqiangzhao ) और pjf ( weibo.com/jfpan ) IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2490, CVE-2016-2491
- Google के ली कैंपबेल: CVE-2016-2500
- Google सुरक्षा टीम के Maciej Szawłowski: CVE-2016-2474
- Google के मार्को नेलिसन और मैक्स स्पेक्टर: CVE-2016-2487
- Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-2494
- मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , सीवीई-2016-2482, सीवीई-2016-2483, सीवीई-2016-2484, सीवीई-2016-2485, सीवीई-2016-2486
- स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- वसीली वासिलिव: सीवीई-2016-2463
- अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-2495
- Tencent सुरक्षा प्लेटफ़ॉर्म विभाग का ज़िलिंग गोंग: CVE-2016-2499
- Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-2493
सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-06-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और CVE के साथ एक तालिका, संबद्ध Android बग, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन AOSP संस्करण (जहां लागू हो), और रिपोर्ट की गई तिथि है। उपलब्ध होने पर, हम AOSP परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
Mediaserver में रिमोट कोड निष्पादन भेद्यता
Mediaserver में रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है। Mediaserver प्रक्रिया में ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-2463 | 27855419 | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 25, 2016 |
libwebm . में रिमोट कोड निष्पादन भेद्यताएं
libwebm के साथ रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है। Mediaserver प्रक्रिया में ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-2464 | 23167726 [ 2 ] | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2465 | 27407865* | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | फ़रवरी 21, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2466 | 27947307* | नाजुक | नेक्सस 6 | फरवरी 27, 2016 |
| सीवीई-2016-2467 | 28029010* | नाजुक | नेक्सस 5 | मार्च 13, 2014 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2468 | 27475454* | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 मार्च 2016 |
| सीवीई-2016-2062 | 27364029* | नाजुक | Nexus 5X, Nexus 6P | मार्च 6, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2474 | 27424603* | नाजुक | नेक्सस 5X | Google आंतरिक |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के लिए विशेषाधिकारों के बिना डिवाइस सेटिंग्स और व्यवहार को बदलने के लिए सिस्टम कॉल को आमंत्रित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2475 | 26425765* | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी | जनवरी 6, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2066 | 26876409* | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 जनवरी 2016 |
| सीवीई-2016-2469 | 27531992* | उच्च | Nexus 5, Nexus 6, Nexus 6P | मार्च 4, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-2476 | 27207275 [ 2 ] [ 3 ] [ 4 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 11, 2016 |
| सीवीई-2016-2477 | 27251096 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फरवरी 17, 2016 |
| सीवीई-2016-2478 | 27475409 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 3, 2016 |
| सीवीई-2016-2479 | 27532282 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 6, 2016 |
| सीवीई-2016-2480 | 27532721 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 6, 2016 |
| सीवीई-2016-2481 | 27532497 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 6, 2016 |
| सीवीई-2016-2482 | 27661749 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 14, 2016 |
| सीवीई-2016-2483 | 27662502 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 14, 2016 |
| सीवीई-2016-2484 | 27793163 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 मार्च 2016 |
| सीवीई-2016-2485 | 27793367 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 मार्च 2016 |
| सीवीई-2016-2486 | 27793371 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 मार्च 2016 |
| सीवीई-2016-2487 | 27833616 [ 2 ] [ 3 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2061 | 27207747* | उच्च | Nexus 5X, Nexus 6P | फरवरी 15, 2016 |
| सीवीई-2016-2488 | 27600832* | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Google आंतरिक |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2489 | 27407629* | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | फ़रवरी 21, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि पहले ड्राइवर को कॉल करने के लिए किसी सेवा से समझौता करने की आवश्यकता होती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2490 | 27533373* | उच्च | नेक्सस 9 | मार्च 6, 2016 |
| सीवीई-2016-2491 | 27556408* | उच्च | नेक्सस 9 | मार्च 8, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2470 | 27662174* | उच्च | नेक्सस 7 (2013) | मार्च 13, 2016 |
| सीवीई-2016-2471 | 27773913* | उच्च | नेक्सस 7 (2013) | मार्च 19, 2016 |
| सीवीई-2016-2472 | 27776888* | उच्च | नेक्सस 7 (2013) | मार्च 20, 2016 |
| सीवीई-2016-2473 | 27777501* | उच्च | नेक्सस 7 (2013) | मार्च 20, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
मीडियाटेक पावर मैनेजमेंट ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
मीडियाटेक पावर मैनेजमेंट ड्राइवर में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसके लिए पहले डिवाइस से समझौता करने की आवश्यकता होती है और ड्राइवर को कॉल करने के लिए रूट की ऊंचाई बढ़ाई जाती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2492 | 28085410* | उच्च | एंड्रॉयड वन | अप्रैल 7, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
एसडी कार्ड इम्यूलेशन परत में विशेषाधिकार भेद्यता की ऊंचाई
एसडी कार्ड यूज़रस्पेस इम्यूलेशन लेयर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-2494 | 28085658 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | अप्रैल 7, 2016 |
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि पहले ड्राइवर को कॉल करने के लिए किसी सेवा से समझौता करने की आवश्यकता होती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2493 | 26571522* | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस प्लेयर, पिक्सेल सी | Google आंतरिक |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
Mediaserver में सेवा भेद्यता का दूरस्थ इनकार
Mediaserver में सेवा सुरक्षाछिद्र का एक दूरस्थ इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए एक डिवाइस हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-2495 | 28076789 [ 2 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | अप्रैल 6, 2016 |
फ्रेमवर्क UI में विशेषाधिकार भेद्यता का उन्नयन
फ्रेमवर्क UI अनुमति संवाद विंडो में विशेषाधिकार भेद्यता का उन्नयन एक हमलावर को निजी भंडारण में अनधिकृत फ़ाइलों तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित रूप से प्राप्त करने के लिए किया जा सकता है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-2496 | 26677796 [ 2 ] [ 3 ] | संतुलित | सभी नेक्सस | 6.0, 6.1 | 26 मई 2015 |
क्वालकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2498 | 27777162* | संतुलित | नेक्सस 7 (2013) | मार्च 20, 2016 |
* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
Mediaserver में सूचना प्रकटीकरण भेद्यता
Mediaserver में एक सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा एक्सेस करने के लिए किया जा सकता है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-2499 | 27855172 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 24, 2016 |
गतिविधि प्रबंधक में सूचना प्रकटीकरण भेद्यता
गतिविधि प्रबंधक घटक में एक सूचना प्रकटीकरण भेद्यता एक एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-2500 | 19285814 | संतुलित | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आंतरिक |
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
जून 01, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ीकरण देखें)। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-06-01]
2. मैं कैसे निर्धारित करूं कि प्रत्येक मुद्दे से कौन से Nexus डिवाइस प्रभावित हैं?
सुरक्षा भेद्यता विवरण अनुभाग में, प्रत्येक तालिका में एक अद्यतन नेक्सस डिवाइस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइस की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइस को प्रभावित करती है, तो टेबल में अपडेटेड नेक्सस डिवाइस कॉलम में "ऑल नेक्सस" होगा। "ऑल नेक्सस" निम्नलिखित समर्थित डिवाइस को एनकैप्सुलेट करता है: नेक्सस 5, नेक्सस 5 एक्स, नेक्सस 6, नेक्सस 6 पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
- कुछ Nexus डिवाइस : यदि कोई समस्या सभी Nexus डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Nexus डिवाइस अपडेट किए गए Nexus डिवाइस कॉलम में सूचीबद्ध होते हैं.
- कोई Nexus डिवाइस नहीं : यदि कोई Nexus डिवाइस इस समस्या से प्रभावित नहीं हैं, तो तालिका में अपडेट किए गए Nexus डिवाइस कॉलम में "कोई नहीं" होगा।
संशोधन
- 06 जून 2016: बुलेटिन प्रकाशित।
- जून 07, 2016:
- AOSP लिंक्स को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- CVE-2016-2496 को बुलेटिन से हटा दिया गया।
- 08 जून, 2016: सीवीई-2016-2496 को बुलेटिन में वापस जोड़ा गया।