पब्लिश करने की तारीख: 06 जून, 2016 | अपडेट करने की तारीख: 08 जून, 2016
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के ज़रिए, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Nexus फ़र्मवेयर इमेज को Google Developers साइट पर भी रिलीज़ किया गया है. 01 जून, 2016 या उसके बाद के सुरक्षा पैच लेवल, इन समस्याओं को ठीक करते हैं. सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Nexus के दस्तावेज़ देखें.
पार्टनर को 02 मई, 2016 या उससे पहले, बुलेटिन में बताई गई समस्याओं के बारे में सूचना दी गई थी. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं.
सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर इस समस्या का असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android और Google की सेवाओं से जुड़ी समस्याओं को कम करने के तरीके सेक्शन में, Android सुरक्षा प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और सेवाओं से जुड़ी सुरक्षा से जुड़ी जानकारी देखें. जैसे, SafetyNet, जो Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाता है.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उन उपायों के बारे में बताया गया है जिनकी मदद से, इस तरह के खतरों को कम किया जा सकता है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, 'ऐप्लिकेशन की पुष्टि करें' सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. इन सुविधाओं को, उपयोगकर्ताओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है. Google Mobile Services वाले डिवाइसों पर, ऐप्लिकेशन की पुष्टि करने की सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और जगह से ऐप्लिकेशन इंस्टॉल करते हैं. Google Play पर डिवाइस को रूट करने वाले टूल उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने की सुविधा, डिवाइस को रूट करने वाले ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर, उपयोगकर्ताओं को चेतावनी देती है. भले ही, वह ऐप्लिकेशन किसी भी सोर्स से डाउनलोड किया गया हो. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा का गलत इस्तेमाल करते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, मीडिया को Mediaserver जैसी प्रोसेस को अपने-आप नहीं भेजते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Tencent के KeenLab (@keen_lab) के दी शेन (@returnsme): CVE-2016-2468
- गैल बेनियामिनी (@laginimaineb): CVE-2016-2476
- Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan) of IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-2492
- Qihoo 360 Technology Co. Ltd. की मोबाइल सेफ़ टीम के हाओ चेन, गुआंग गोंग, और वेनलिन यांग: CVE-2016-2470, CVE-2016-2471, CVE-2016-2472, CVE-2016-2473, CVE-2016-2498
- Iwo Banas: CVE-2016-2496
- Qihoo 360 Technology Co.Ltd. के IceSword Lab के, जियांकियांग झाओ(@jianqiangzhao) और pjf (weibo.com/jfpan): CVE-2016-2490, CVE-2016-2491
- Google के ली कैंपबेल: CVE-2016-2500
- Google की सुरक्षा टीम के Maciej Szawłowski: CVE-2016-2474
- Google के मार्को नेलिसन और मैक्स स्पेक्टर: CVE-2016-2487
- Google Project Zero का Mark Brand: CVE-2016-2494
- C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), चिआचीह वू (@chiachih_wu), और जूशियन ज़ियांग: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481, CVE-2016-2482, CVE-2016-2483, CVE-2016-2484, CVE-2016-2485, CVE-2016-2486
- स्कॉट बाउर (@ScottyBauer1): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
- वसीली वासिलेव: CVE-2016-2463
- Alibaba Inc. के वेईचाओ सुन (@sunblate): CVE-2016-2495
- Tencent Security Platform Department के Xiling Gong: CVE-2016-2499
- Android की सुरक्षा टीम के ज़ैक रिगल (@ebeip90): CVE-2016-2493
सुरक्षा से जुड़े जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-06-2016 के पैच लेवल पर लागू होती है. इसमें समस्या की जानकारी, ज़रूरत के हिसाब से समस्या की गंभीरता, और एक टेबल होती है. इस टेबल में सीवीई, उससे जुड़ा Android बग, गंभीरता, अपडेट किए गए Nexus डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो) की जानकारी, और रिपोर्ट करने की तारीख होती है. उपलब्ध होने पर, हम उस AOSP बदलाव को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से अन्य AOSP रेफ़रंस लिंक किए जाते हैं.
Mediaserver में रिमोट कोड लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
Mediaserver में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. Mediaserver प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है. Mediaserver प्रोसेस के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, उसमें ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
जिस सुविधा पर असर पड़ा है वह ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट को ऐक्सेस किया जा सकता है. इनमें सबसे अहम एमएमएस और ब्राउज़र पर मीडिया चलाने की सुविधा है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | सबसे अहम | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 मार्च, 2016 |
libwebm में, रिमोट कोड को लागू करने से जुड़ी जोखिम की आशंकाएं
libwebm में रिमोट कोड प्रोग्राम चलाए जाने से जुड़ी जोखिम की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी को खराब कर सकता है. Mediaserver प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है. Mediaserver प्रोसेस के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, उसमें ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
जिस सुविधा पर असर पड़ा है वह ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट को ऐक्सेस किया जा सकता है. इनमें सबसे अहम एमएमएस और ब्राउज़र पर मीडिया चलाने की सुविधा है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [2] | सबसे अहम | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
Qualcomm वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | सबसे अहम | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 फ़रवरी, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Qualcomm साउंड ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm साउंड ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | सबसे अहम | Nexus 6 | 27 फ़रवरी, 2016 |
| CVE-2016-2467 | 28029010* | सबसे अहम | Nexus 5 | 13 मार्च, 2014 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Qualcomm जीपीयू ड्राइवर में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की आशंका
Qualcomm GPU ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | सबसे अहम | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 | 2 मार्च, 2016 |
| CVE-2016-2062 | 27364029* | सबसे अहम | Nexus 5X, Nexus 6P | 6 मार्च, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | सबसे अहम | Nexus 5X | Google आन्तरिक |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Broadcom वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Broadcom वाई-फ़ाई ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, सिस्टम कॉल को ट्रिगर कर सकता है. इससे, डिवाइस की सेटिंग और उसके व्यवहार में बदलाव किए जा सकते हैं. इसके लिए, ऐप्लिकेशन को ऐक्सेस लेवल की ज़रूरत नहीं होती. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐक्सेस लेवल बढ़ाने की सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | ज़्यादा | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 6 जनवरी, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Qualcomm साउंड ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm साउंड ड्राइवर में प्रिविलेज एस्केलेशन की समस्या की वजह से, नुकसान पहुंचाने वाले ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले उस सेवा को कमज़ोर करना ज़रूरी है जिससे ड्राइवर को कॉल किया जा सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | ज़्यादा | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 29 जनवरी, 2016 |
| CVE-2016-2469 | 27531992* | ज़्यादा | Nexus 5, Nexus 6, Nexus 6P | 4 मार्च, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Mediaserver में प्रिविलेज एस्केलेशन की समस्या
Mediaserver में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को ऐक्सेस लेवल बढ़ाए गए सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं की जा सकतीं.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [2] [3] [4] | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 फ़रवरी, 2016 |
| CVE-2016-2477 | 27251096 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 फ़रवरी, 2016 |
| CVE-2016-2478 | 27475409 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 मार्च, 2016 |
| CVE-2016-2479 | 27532282 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 मार्च, 2016 |
| CVE-2016-2480 | 27532721 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 मार्च, 2016 |
| CVE-2016-2481 | 27532497 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 मार्च, 2016 |
| CVE-2016-2482 | 27661749 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 मार्च, 2016 |
| CVE-2016-2483 | 27662502 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 मार्च, 2016 |
| CVE-2016-2484 | 27793163 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 मार्च, 2016 |
| CVE-2016-2485 | 27793367 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 मार्च, 2016 |
| CVE-2016-2486 | 27793371 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 मार्च, 2016 |
| CVE-2016-2487 | 27833616 [2] [3] | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
Qualcomm Camera Driver में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले उस सेवा को हैक करना ज़रूरी है जिससे ड्राइवर को कॉल किया जा सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | ज़्यादा | Nexus 5X, Nexus 6P | 15 फ़रवरी, 2016 |
| CVE-2016-2488 | 27600832* | ज़्यादा | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | Google आन्तरिक |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Qualcomm वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले उस सेवा को हैक करना ज़रूरी है जिससे ड्राइवर को कॉल किया जा सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | ज़्यादा | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 21 फ़रवरी, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
NVIDIA कैमरा ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
NVIDIA कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि ड्राइवर को कॉल करने के लिए, पहले किसी सेवा को कमज़ोर करना पड़ता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | ज़्यादा | Nexus 9 | 6 मार्च, 2016 |
| CVE-2016-2491 | 27556408* | ज़्यादा | Nexus 9 | 8 मार्च, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है, क्योंकि इसके लिए सबसे पहले उस सेवा को कमज़ोर करना ज़रूरी है जिससे ड्राइवर को कॉल किया जा सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | ज़्यादा | Nexus 7 (2013) | 13 मार्च, 2016 |
| CVE-2016-2471 | 27773913* | ज़्यादा | Nexus 7 (2013) | 19 मार्च, 2016 |
| CVE-2016-2472 | 27776888* | ज़्यादा | Nexus 7 (2013) | 20 मार्च, 2016 |
| CVE-2016-2473 | 27777501* | ज़्यादा | Nexus 7 (2013) | 20 मार्च, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
MediaTek Power Management Driver में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
MediaTek के पावर मैनेजमेंट ड्राइवर में विशेषाधिकार बढ़ाने से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए डिवाइस को कमज़ोर करना ज़रूरी है. साथ ही, ड्राइवर को कॉल करने के लिए, डिवाइस को रूट करना भी ज़रूरी है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | ज़्यादा | Android One | 7 अप्रैल, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
एसडी कार्ड इम्यूलेशन लेयर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
एसडी कार्ड के यूज़रस्पेस इम्यूलेशन लेयर में, ऐक्सेस लेवल की बढ़ोतरी से जुड़ी जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को ऐक्सेस लेवल बढ़ाए गए सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem अनुमतियों के विशेषाधिकार. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं की जा सकतीं.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 अप्रैल, 2016 |
Broadcom वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Broadcom Wi-Fi ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि ड्राइवर को कॉल करने के लिए, पहले किसी सेवा को कमज़ोर करना पड़ता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | ज़्यादा | Nexus 5, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus Player, Pixel C | Google आन्तरिक |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Mediaserver में रिमोट डीओएस (सेवा में रुकावट) की समस्या
Mediaserver में रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की समस्या की वजह से, हमलावर किसी खास तरह की फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'ज़्यादा' रेटिंग दी गई है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [2] | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 6 अप्रैल, 2016 |
फ़्रेमवर्क के यूज़र इंटरफ़ेस (यूआई) में प्रिविलेज एस्केलेशन की समस्या
फ़्रेमवर्क के यूज़र इंटरफ़ेस (यूआई) की अनुमति वाली डायलॉग विंडो में, प्रिविलेज एस्कलेशन की समस्या की वजह से, हमलावर निजी स्टोरेज में मौजूद बिना अनुमति वाली फ़ाइलों का ऐक्सेस हासिल कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल "खतरनाक" अनुमतियां पाने के लिए किया जा सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [2] [3] | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 6.0, 6.1 | 26 मई, 2015 |
Qualcomm वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
Qualcomm वाई-फ़ाई ड्राइवर में जानकारी ज़ाहिर करने से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले उस सेवा को हैक करना होगा जिससे ड्राइवर को कॉल किया जा सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | काफ़ी हद तक ठीक है | Nexus 7 (2013) | 20 मार्च, 2016 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Nexus डिवाइसों के लिए उपलब्ध सबसे नए बाइनरी ड्राइवर में शामिल है. ये ड्राइवर, Google Developer साइट से डाउनलोड किए जा सकते हैं.
Mediaserver में जानकारी ज़ाहिर करने से जुड़ी समस्या
Mediaserver में जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका की वजह से, किसी ऐप्लिकेशन को संवेदनशील जानकारी ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 मार्च, 2016 |
Activity Manager में जानकारी ज़ाहिर करने से जुड़ी समस्या
Activity Manager कॉम्पोनेंट में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, किसी ऐप्लिकेशन को संवेदनशील जानकारी ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को मध्यम दर्जा दिया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | Android से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
01 जून, 2016 या इसके बाद के सिक्योरिटी पैच लेवल से, इन समस्याओं को ठीक किया जा सकता है. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, Nexus दस्तावेज़ पढ़ें. डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-06-01]
2. मैं कैसे पता लगाऊं कि हर समस्या का असर किन Nexus डिवाइसों पर पड़ता है?
सुरक्षा से जुड़ी समस्या की जानकारी सेक्शन में, हर टेबल में अपडेट किए गए Nexus डिवाइसों का कॉलम होता है. इसमें, हर समस्या के लिए अपडेट किए गए उन Nexus डिवाइसों की सीमा शामिल होती है जिन पर असर पड़ा है. इस कॉलम में कुछ विकल्प होते हैं:
- सभी Nexus डिवाइस: अगर किसी समस्या का असर सभी Nexus डिवाइसों पर पड़ता है, तो टेबल में अपडेट किए गए Nexus डिवाइस कॉलम में “सभी Nexus” दिखेगा. “सभी Nexus” के इसमें ये डिवाइस शामिल हैं: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, और Pixel C.
- कुछ Nexus डिवाइसों पर: अगर किसी समस्या का असर सभी Nexus डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Nexus डिवाइस कॉलम में दी गई है.
- कोई Nexus डिवाइस नहीं: अगर इस समस्या का असर किसी Nexus डिवाइस पर नहीं पड़ा है, तो टेबल में अपडेट किए गए Nexus डिवाइस कॉलम में “कोई नहीं” दिखेगा.
संशोधन
- 06 जून, 2016: बुलेटिन पब्लिश किया गया.
- 07 जून, 2016:
- AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया है.
- CVE-2016-2496 को बुलेटिन से हटा दिया गया है.
- 08 जून, 2016: CVE-2016-2496 को बुलेटिन में फिर से जोड़ा गया.