पब्लिश किया गया: 01 अगस्त, 2016 | अपडेट किया गया: 21 अक्टूबर, 2016
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के ज़रिए, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Nexus फ़र्मवेयर इमेज को Google Developer साइट पर भी रिलीज़ किया गया है. 05 अगस्त, 2016 या उसके बाद के सुरक्षा पैच लेवल से, इन समस्याओं को ठीक किया जा सकता है. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, दस्तावेज़ देखें.
पार्टनर को 06 जुलाई, 2016 या उससे पहले, बुलेटिन में बताई गई समस्याओं के बारे में सूचना दी गई थी. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सेवाओं और SafetyNet जैसी सेवाओं के बारे में ज़्यादा जानने के लिए, Android और Google की सेवाओं से जुड़ी समस्याओं को कम करने के तरीके सेक्शन देखें. ये सेवाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
सूचनाएं
- CVE-2016-3856 को CVE-2016-2060 में बदलने के लिए, बुलेटिन में बदलाव किया गया है.
- इस सूचना में, सुरक्षा पैच के दो लेवल की स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और जवाब देखें:
- 2016-08-01: सुरक्षा पैच के लेवल की कुछ जानकारी देने वाली स्ट्रिंग. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-08-2016 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याओं को ठीक कर दिया गया है.
- 05-08-2016: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. सुरक्षा पैच के लेवल की इस स्ट्रिंग से पता चलता है कि 01-08-2016 और 05-08-2016 (और सुरक्षा पैच के लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याओं को ठीक कर दिया गया है.
- जिन Nexus डिवाइसों पर यह सुविधा काम करती है उन्हें 05 अगस्त, 2016 के सिक्योरिटी पैच लेवल के साथ एक ओटीए अपडेट मिलेगा.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी समस्याओं को कम करने के तरीकों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ता अपने डिवाइस को Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Verify ऐप्लिकेशन और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. इनका मकसद, उपयोगकर्ताओं को संभावित तौर पर नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देना है. Google Mobile Services वाले डिवाइसों पर, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं. डिवाइस को रूट करने वाले टूल, Google Play पर उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने वाली सुविधा, उपयोगकर्ताओं को रूट करने वाले किसी भी ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर चेतावनी देती है. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा के जोखिम का फ़ायदा उठाते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, Mediaserver जैसी प्रोसेस को मीडिया को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Google Chrome की सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग, और मार्टिन बारबेला: CVE-2016-3821, CVE-2016-3837
- Check Point Software Technologies Ltd. के ऐडम डॉनफ़ेल्ड वगैरह: CVE-2016-2504
- C0RE टीम के चियाचीह वू (@chiachih_wu), मिंगजियन झोउ (@Mingjian_Zhou), और जूशियन जियांग: CVE-2016-3844
- C0RE टीम के चियाची वू (@chiachih_wu), युआन-त्सुंग लो (computernik@gmail.com), और शुशियन जियांग: CVE-2016-3857
- Google के डेविड बेंजामिन और केनी रूट: CVE-2016-3840
- Alibaba की मोबाइल सुरक्षा टीम के दायवे पेंग (Vinc3nt4H): CVE-2016-3822
- Tencent के KeenLab (@keen_lab) के दी शेन (@returnsme): CVE-2016-3842
- Google की डायने हैकबर्न: CVE-2016-2497
- Google डाइनैमिक टूल टीम के दिमित्री व्युकोव: CVE-2016-3841
- Qihoo 360 Technology Co. Ltd की IceSword Lab की Gengjia Chen (@chengjia4574), pjf (weibo.com/jfpan): CVE-2016-3852
- Qihoo 360 Technology Co. Ltd की Alpha टीम के गुआंग गोंग (龚广) (@oldfresher): CVE-2016-3834
- Fortinet के FortiGuard Labs के कै ल्यू (@K3vinLuSec): CVE-2016-3820
- कंडाला शिवराम रेड्डी, डीएस, और उप्पी: CVE-2016-3826
- C0RE टीम के मिंगजियन झोउ (@Mingjian_Zhou), चियाचीह वू (@chiachih_wu), और जूशियन जियांग: CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- Tesla Motors की प्रॉडक्ट सुरक्षा टीम के नेथन क्रैंडल (@natecray): CVE-2016-3847, CVE-2016-3848
- Alibaba के मोबाइल सिक्योरिटी ग्रुप के पेंग ज़ियाओ, चेनिमिंग यांग, निंग यू, चाओ यांग, और यांग सॉन्ग: CVE-2016-3845
- Trend Micro के पीटर पाई (@heisecode): CVE-2016-3849
- WooYun TangLab के Qianwei Hu (rayxcp@gmail.com): CVE-2016-3846
- Tencent के KeenLab (@keen_lab) के Qidan He (@flanker_hqd): CVE-2016-3832
- Google के शर्विल नानावटी: CVE-2016-3839
- Security in Telecommunications के शिंजो पार्क (@ad_ili_rai) और अल्ताफ शेख: CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- वसीली वासिलिएव: CVE-2016-3819
- Alibaba Inc. के वेईचाओ सुन (@sunblate): CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- Trend Micro Inc की Wish Wu (吴潍浠) (@wish_wu): CVE-2016-3843
- Tencent के Xuanwu LAB के @Rudykewang: CVE-2016-3836
हम Copperhead Security के डेनियल माइकय, Google के जेफ़ वैंडर स्टोप, और याबिन कुई का धन्यवाद करना चाहते हैं. इन लोगों ने CVE-2016-3843 जैसी कमज़ोरियों को कम करने के लिए, प्लैटफ़ॉर्म लेवल पर अपडेट करने में मदद की है. इस समस्या को कम करने का तरीका, Grsecurity के ब्रैड स्पेंग्लर के काम पर आधारित है.
01-08-2016 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-08-2016 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और एक टेबल दी गई है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Nexus डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल है. उपलब्ध होने पर, हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
Mediaserver में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
Mediaserver में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. Mediaserver प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है. Mediaserver प्रोसेस के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, उसमें ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
जिस फ़ंक्शन पर असर पड़ा है उसे ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट के ज़रिए उस फ़ंक्शन को ऐक्सेस किया जा सकता है. इनमें मल्टीमीडिया मैसेज (एमएमएस) और ब्राउज़र से मीडिया चलाने की सुविधा सबसे अहम है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | सबसे अहम | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 मई, 2016 |
| CVE-2016-3820 | A-28673410 | सबसे अहम | सभी Nexus | 6.0, 6.0.1 | 6 मई, 2016 |
| CVE-2016-3821 | A-28166152 | सबसे अहम | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
libjhead में रिमोट कोड लागू करने की सुविधा से जुड़ी जोखिम की आशंका
libjhead में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी गड़बड़ी की वजह से, हमलावर किसी खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. इस लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन में, रिमोट कोड एक्ज़ीक्यूशन की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | ज़्यादा | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
Mediaserver में प्रिविलेज एस्केलेशन की समस्या
Mediaserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | ज़्यादा | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई, 2016 |
| CVE-2016-3824 | A-28816827 | ज़्यादा | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई, 2016 |
| CVE-2016-3825 | A-28816964 | ज़्यादा | सभी Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई, 2016 |
| CVE-2016-3826 | A-29251553 | ज़्यादा | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 जून, 2016 |
Mediaserver में सेवा में रुकावट की समस्या
Mediaserver में सेवा में रुकावट से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह की फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेट किया गया है, क्योंकि इसकी वजह से कुछ समय के लिए, रिमोट से सेवा में रुकावट आ सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | ज़्यादा | सभी Nexus | 6.0.1 | 16 मई, 2016 |
| CVE-2016-3828 | A-28835995 | ज़्यादा | सभी Nexus | 6.0, 6.0.1 | 17 मई, 2016 |
| CVE-2016-3829 | A-29023649 | ज़्यादा | सभी Nexus | 6.0, 6.0.1 | 27 मई, 2016 |
| CVE-2016-3830 | A-29153599 | ज़्यादा | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
सिस्टम क्लॉक में सेवा में रुकावट की आशंका
सिस्टम क्लॉक में, सेवा अस्वीकार करने की समस्या की वजह से, डिवाइस को क्रैश करने के लिए, रिमोट से हमला किया जा सकता है. इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है, क्योंकि इसकी वजह से कुछ समय के लिए, रिमोट से सेवा में रुकावट आ सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | ज़्यादा | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 मई, 2016 |
फ़्रेमवर्क एपीआई में प्रिविलेज एस्कलेशन की समस्या
फ़्रेमवर्क एपीआई में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को ऑपरेटिंग सिस्टम की सुरक्षा को बायपास करने में मदद मिल सकती है. यह सुरक्षा, ऐप्लिकेशन के डेटा को अन्य ऐप्लिकेशन से अलग करती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उस डेटा को ऐक्सेस करने के लिए किया जा सकता है जो ऐप्लिकेशन के अनुमति लेवल के दायरे में नहीं आता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | काफ़ी हद तक ठीक है | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 मई, 2016 |
Shell में प्रिविलेज एस्कलेशन की समस्या
Shell में प्रिविलेज एस्केलेशन की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, डिवाइस की पाबंदियों को बायपास कर सकता है. जैसे, उपयोगकर्ता से जुड़ी पाबंदियां. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता की अनुमतियों को स्थानीय तौर पर बायपास करती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [2] | काफ़ी हद तक ठीक है | सभी Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
OpenSSL में जानकारी ज़ाहिर करने से जुड़ी जोखिम
OpenSSL में जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | कोई नहीं* | सभी Nexus | 4.4.4, 5.0.2, 5.1.1 | 29 मार्च, 2016 |
* जिन Nexus डिवाइसों पर यह सुविधा काम करती है और जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं उन पर इस समस्या का असर नहीं पड़ेगा
कैमरा एपीआई में, जानकारी ज़ाहिर करने से जुड़ी समस्या
कैमरा एपीआई में जानकारी ज़ाहिर करने की समस्या की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, अनुमति के लेवल से बाहर के डेटा स्ट्रक्चर को ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | काफ़ी हद तक ठीक है | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 अप्रैल, 2016 |
Mediaserver में जानकारी ज़ाहिर करने से जुड़ी समस्या
Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | काफ़ी हद तक ठीक है | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 मई, 2016 |
SurfaceFlinger में, जानकारी ज़ाहिर करने से जुड़ी समस्या
SurfaceFlinger सेवा में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | काफ़ी हद तक ठीक है | सभी Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 मई, 2016 |
वाई-फ़ाई में जानकारी ज़ाहिर करने से जुड़ी जोखिम
वाई-फ़ाई में जानकारी ज़ाहिर करने की समस्या की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | काफ़ी हद तक ठीक है | सभी Nexus | 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
सिस्टम यूज़र इंटरफ़ेस (यूआई) में, सेवा में रुकावट की आशंका
सिस्टम यूज़र इंटरफ़ेस (यूआई) में, सेवा अस्वीकार करने की समस्या की वजह से, कोई स्थानीय और नुकसान पहुंचाने वाला ऐप्लिकेशन, लॉक की गई स्क्रीन से 911 पर कॉल करने की सुविधा को बंद कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इससे किसी अहम फ़ंक्शन पर सेवा में रुकावट आ सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | काफ़ी हद तक ठीक है | सभी Nexus | 6.0, 6.0.1 | सिर्फ़ Google के लिए |
ब्लूटूथ में सेवा में रुकावट की समस्या
ब्लूटूथ में सेवा के अस्वीकार होने की समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, ब्लूटूथ डिवाइस से 911 पर कॉल करने की सुविधा को बंद कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि किसी अहम फ़ंक्शन पर सेवा में रुकावट आने की संभावना है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | काफ़ी हद तक ठीक है | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
05-08-2016 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-08-2016 के पैच लेवल पर लागू होती हैं. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और एक टेबल दी गई है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Nexus डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
Qualcomm वाई-फ़ाई ड्राइवर में, रिमोट कोड लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
Qualcomm Wi-Fi ड्राइवर में, रिमोट कोड प्रोग्राम चलाने से जुड़ी एक कमज़ोरी है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, कर्नेल के संदर्भ में कोई भी कोड चला सकता है. इस समस्या को गंभीर के तौर पर रेट किया गया है, क्योंकि डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | सबसे अहम | Nexus 7 (2013) | 31 मार्च, 2014 |
Conscrypt में, रिमोट कोड को लागू करने की सुविधा से जुड़ी जोखिम
Conscrypt में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी कमज़ोरी की वजह से, रिमोट से हमलावर किसी खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चला सकता है. रिमोट कोड लागू होने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | सबसे अहम | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
Qualcomm के कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
नीचे दी गई टेबल में, सुरक्षा से जुड़ी ऐसी समस्याएं दी गई हैं जिनका असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनमें, बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइव, नेटवर्किंग, साउंड ड्राइवर, और वीडियो ड्राइवर शामिल हो सकते हैं.
इनमें से सबसे गंभीर समस्याओं को गंभीर के तौर पर रेटिंग दी जाती है. इसकी वजह यह है कि कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इससे डिवाइस में हमेशा के लिए गड़बड़ी हो सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | सबसे अहम | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9864 | A-28747998 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 27 मार्च, 2014 |
| CVE-2014-9865 | A-28748271 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 27 मार्च, 2014 |
| CVE-2014-9866 | A-28747684 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9867 | A-28749629 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9868 | A-28749721 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9869 | A-28749728 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9870 | A-28749743 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9871 | A-28749803 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9872 | A-28750155 | ज़्यादा | Nexus 5 | 31 मार्च, 2014 |
| CVE-2014-9873 | A-28750726 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9874 | A-28751152 | ज़्यादा | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9875 | A-28767589 | ज़्यादा | Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9876 | A-28767796 | ज़्यादा | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9877 | A-28768281 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9878 | A-28769208 | ज़्यादा | Nexus 5 | 30 अप्रैल, 2014 |
| CVE-2014-9879 | A-28769221 | ज़्यादा | Nexus 5 | 30 अप्रैल, 2014 |
| CVE-2014-9880 | A-28769352 | ज़्यादा | Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9881 | A-28769368 | ज़्यादा | Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9882 | A-28769546 | ज़्यादा | Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9883 | A-28769912 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9884 | A-28769920 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9885 | A-28769959 | ज़्यादा | Nexus 5 | 30 अप्रैल, 2014 |
| CVE-2014-9886 | A-28815575 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9887 | A-28804057 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 3 जुलाई, 2014 |
| CVE-2014-9888 | A-28803642 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 29 अगस्त, 2014 |
| CVE-2014-9889 | A-28803645 | ज़्यादा | Nexus 5 | 31 अक्टूबर, 2014 |
| CVE-2015-8937 | A-28803962 | ज़्यादा | Nexus 5, Nexus 6, Nexus 7 (2013) | 31 मार्च, 2015 |
| CVE-2015-8938 | A-28804030 | ज़्यादा | Nexus 6 | 31 मार्च, 2015 |
| CVE-2015-8939 | A-28398884 | ज़्यादा | Nexus 7 (2013) | 30 अप्रैल, 2015 |
| CVE-2015-8940 | A-28813987 | ज़्यादा | Nexus 6 | 30 अप्रैल, 2015 |
| CVE-2015-8941 | A-28814502 | ज़्यादा | Nexus 6, Nexus 7 (2013) | 29 मई, 2015 |
| CVE-2015-8942 | A-28814652 | ज़्यादा | Nexus 6 | 30 जून, 2015 |
| CVE-2015-8943 | A-28815158 | ज़्यादा | Nexus 5 | 11 सितंबर, 2015 |
| CVE-2014-9891 | A-28749283 | काफ़ी हद तक ठीक है | Nexus 5 | 13 मार्च, 2014 |
| CVE-2014-9890 | A-28770207 | काफ़ी हद तक ठीक है | Nexus 5, Nexus 7 (2013) | 2 जून, 2014 |
कर्नेल नेटवर्किंग कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
कर्नेल नेटवर्किंग कॉम्पोनेंट में, ऐक्सेस लेवल की कमज़ोरी की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के कॉन्टेक्स्ट में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | सबसे अहम | सभी Nexus | 23 मार्च, 2015 |
| CVE-2016-3841 | A-28746669 | सबसे अहम | सभी Nexus | 3 दिसंबर, 2015 |
Qualcomm जीपीयू ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm GPU ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365
QC-CR#1002974 |
सबसे अहम | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 5 अप्रैल, 2016 |
| CVE-2016-3842 | A-28377352
QC-CR#1002974 |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P | 25 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm के परफ़ॉर्मेंस कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm के परफ़ॉर्मेंस कॉम्पोनेंट में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
ध्यान दें: इस सूचना में, A-29119870 के तहत प्लैटफ़ॉर्म-लेवल का एक अपडेट भी है. इसे इस तरह की कमजोरियों को कम करने के लिए डिज़ाइन किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229*
QC-CR#1011071 |
सबसे अहम | Nexus 5X, Nexus 6P | 7 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल में प्रिविलेज एस्केलेशन की समस्या
कर्नेल में प्रिविलेज एस्केलेशन की समस्या होने पर, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | सबसे अहम | Nexus 7 (2013) | 2 मई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल मेमोरी सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
कर्नेल मेमोरी सिस्टम में, ऐक्सेस लेवल की सुविधा के गलत इस्तेमाल की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | ज़्यादा | Nexus Player | 13 फ़रवरी, 2015 |
| CVE-2016-3672 | A-28763575 | ज़्यादा | Nexus Player | 25 मार्च, 2016 |
कर्नेल साउंड कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
कर्नेल साउंड कॉम्पोनेंट में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | ज़्यादा | सभी Nexus | 19 जनवरी, 2016 |
| CVE-2016-2546 | A-28694392 | ज़्यादा | Pixel C | 19 जनवरी, 2016 |
| CVE-2014-9904 | A-28592007 | ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player | 4 मई, 2016 |
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की आशंका
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 2 मार्च, 2016 |
Mediaserver में प्रिविलेज एस्केलेशन की समस्या
Mediaserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं की जा सकतीं.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517*
N-CVE-2016-3844 |
ज़्यादा | Nexus 9, Pixel C | 19 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
कर्नेल वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | ज़्यादा | Nexus 5 | 20 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
सीरियल पेरिफ़रल इंटरफ़ेस ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
Serial Peripheral Interface ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | ज़्यादा | Nexus 5X, Nexus 6P | 17 मई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
NVIDIA मीडिया ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
NVIDIA मीडिया ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433*
N-CVE-2016-3847 |
ज़्यादा | Nexus 9 | 19 मई, 2016 |
| CVE-2016-3848 | A-28919417*
N-CVE-2016-3848 |
ज़्यादा | Nexus 9 | 19 मई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
ION ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
ION ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | ज़्यादा | Pixel C | 24 मई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm बूटलोडर में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम की आशंका
Qualcomm बूटलोडर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | ज़्यादा | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 28 मार्च, 2016 |
कर्नेल परफ़ॉर्मेंस सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
कर्नेल की परफ़ॉर्मेंस वाले सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी कमज़ोरियों की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि हमलावर इसका फ़ायदा उठा सकते हैं.
ध्यान दें: यह प्लैटफ़ॉर्म लेवल का अपडेट है. इसे CVE-2016-3843 (A-28086229) जैसी कई तरह की कमज़ोरियों को कम करने के लिए डिज़ाइन किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | ज़्यादा | सभी Nexus | 6.0, 6.1 | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
LG Electronics के बूटलोडर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
LG Electronics के बूटलोडर में, ऐलिवेशन ऑफ़ प्रिविलेज की समस्या मौजूद है. इसकी वजह से, हमलावर कर्नेल के संदर्भ में, मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | ज़्यादा | Nexus 5X | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm के कॉम्पोनेंट में, जानकारी ज़ाहिर होने की समस्या
नीचे दी गई टेबल में, सुरक्षा से जुड़ी ऐसी समस्याएं दी गई हैं जिनका असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनमें, बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर, और वीडियो ड्राइवर शामिल हो सकते हैं.
इनमें से सबसे गंभीर समस्याओं को 'गंभीर' के तौर पर रेटिंग दी जाती है. इसकी वजह यह है कि कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. जैसे, उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | ज़्यादा | Nexus 5, Nexus 7 (2013) | 2 जून, 2014 |
| CVE-2015-8944 | A-28814213 | ज़्यादा | Nexus 6, Nexus 7 (2013) | 30 अप्रैल, 2015 |
| CVE-2014-9893 | A-28747914 | काफ़ी हद तक ठीक है | Nexus 5 | 27 मार्च, 2014 |
| CVE-2014-9894 | A-28749708 | काफ़ी हद तक ठीक है | Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9895 | A-28750150 | काफ़ी हद तक ठीक है | Nexus 5, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9896 | A-28767593 | काफ़ी हद तक ठीक है | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9897 | A-28769856 | काफ़ी हद तक ठीक है | Nexus 5 | 30 अप्रैल, 2014 |
| CVE-2014-9898 | A-28814690 | काफ़ी हद तक ठीक है | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9899 | A-28803909 | काफ़ी हद तक ठीक है | Nexus 5 | 3 जुलाई, 2014 |
| CVE-2014-9900 | A-28803952 | काफ़ी हद तक ठीक है | Nexus 5, Nexus 7 (2013) | 8 अगस्त, 2014 |
कर्नेल शेड्यूलर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
कर्नेल शेड्यूलर में जानकारी ज़ाहिर करने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | ज़्यादा | Nexus 5X, Nexus 6P | 21 फ़रवरी, 2014 |
MediaTek वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम (डिवाइस के हिसाब से)
MediaTek वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी है. इससे, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147*
M-ALPS02751738 |
ज़्यादा | Android One | 12 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
यूएसबी ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
USB ड्राइवर में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | ज़्यादा | सभी Nexus | 3 मई, 2016 |
Qualcomm के कॉम्पोनेंट में, सेवा में रुकावट (डीओएस) की समस्या
नीचे दी गई टेबल में, सुरक्षा से जुड़ी ऐसी समस्याओं के बारे में बताया गया है जिनका असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनमें, वाई-फ़ाई ड्राइवर भी शामिल हो सकता है.
इनमें से सबसे गंभीर समस्याओं को 'गंभीर' के तौर पर रेट किया जाता है. इसकी वजह यह है कि हमलावर, डिवाइस को कुछ समय के लिए रिमोट से सेवा देने से रोक सकता है. इससे डिवाइस हैंग हो सकता है या रीबूट हो सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | ज़्यादा | Nexus 7 (2013) | 31 मार्च, 2014 |
Google Play services में, ऐप्लिकेशन के लिए खास सुविधाओं का ऐक्सेस पाने से जुड़ी समस्या
Google Play services में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी समस्या की वजह से, स्थानीय हमलावर फ़ैक्ट्री रीसेट प्रोटेक्शन को बायपास करके डिवाइस का ऐक्सेस हासिल कर सकता है. फ़ैक्ट्री रीसेट की सुरक्षा को बायपास करने की संभावना की वजह से, इसे मध्यम के तौर पर रेट किया गया है. इससे डिवाइस को रीसेट किया जा सकता है और उसका सारा डेटा मिटाया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | काफ़ी हद तक ठीक है | सभी Nexus | कोई नहीं | 4 मई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
फ़्रेमवर्क एपीआई में प्रिविलेज एस्कलेशन की समस्या
फ़्रेमवर्क एपीआई में प्रिविलेज एस्कलेशन की समस्या होने पर, पहले से इंस्टॉल किए गए ऐप्लिकेशन को अपने इंटेंट फ़िल्टर की प्राथमिकता बढ़ाने की अनुमति मिल सकती है. ऐसा तब होता है, जब ऐप्लिकेशन को उपयोगकर्ता को सूचना दिए बिना अपडेट किया जा रहा हो. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना, ऐडवांस सुविधाएं पाने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | काफ़ी हद तक ठीक है | सभी Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
कर्नेल नेटवर्किंग कॉम्पोनेंट में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
कर्नेल नेटवर्किंग कॉम्पोनेंट में जानकारी ज़ाहिर करने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | काफ़ी हद तक ठीक है | सभी Nexus | 3 मई, 2016 |
कर्नेल साउंड कॉम्पोनेंट में, जानकारी ज़ाहिर होने की समस्या
कर्नेल साउंड कॉम्पोनेंट में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | काफ़ी हद तक ठीक है | सभी Nexus | 9 मई, 2016 |
| CVE-2016-4578 | A-28980217 | काफ़ी हद तक ठीक है | सभी Nexus | 11 मई, 2016 |
Qualcomm के कॉम्पोनेंट में जोखिम की आशंकाएं
नीचे दी गई टेबल में, सुरक्षा से जुड़ी ऐसी समस्याएं दी गई हैं जिनका असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनमें, बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर, और वीडियो ड्राइवर शामिल हो सकते हैं.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | ज़्यादा | कोई नहीं | फ़रवरी 2016 |
| CVE-2016-3855 | QC-CR#990824 | ज़्यादा | कोई नहीं | मई 2016 |
| CVE-2016-2060 | QC-CR#959631 | काफ़ी हद तक ठीक है | कोई नहीं | अप्रैल 2016 |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
01-08-2016 या उसके बाद के सुरक्षा पैच के लेवल, 01-08-2016 के सुरक्षा पैच की स्ट्रिंग के लेवल से जुड़ी सभी समस्याओं को हल करते हैं. 05-08-2016 या उसके बाद के सुरक्षा पैच के लेवल, 05-08-2016 के सुरक्षा पैच की स्ट्रिंग के लेवल से जुड़ी सभी समस्याओं को हल करते हैं. सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, सहायता केंद्र पर जाएं. डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इन पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-08-01] या [ro.build.version.security_patch]:[2016-08-05].
2. इस सूचना में, सुरक्षा पैच लेवल की दो स्ट्रिंग क्यों हैं?
इस सूचना में, सुरक्षा पैच के दो लेवल की स्ट्रिंग हैं. इससे Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर पाएंगे. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा से जुड़े नए पैच लेवल की स्ट्रिंग का इस्तेमाल करने का सुझाव दिया जाता है.
जिन डिवाइसों पर 5 अगस्त, 2016 या इसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनके लिए, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
जिन डिवाइसों में 1 अगस्त, 2016 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं को ठीक करना भी ज़रूरी है. जिन डिवाइसों में 1 अगस्त, 2016 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें 5 अगस्त, 2016 के सिक्योरिटी पैच लेवल से जुड़े सुधारों का सबसेट भी शामिल हो सकता है.
3. मैं कैसे पता लगाऊं कि हर समस्या का असर किन Nexus डिवाइसों पर पड़ता है?
01-08-2016 और 05-08-2016 के सुरक्षा से जुड़ी समस्याओं की जानकारी वाले सेक्शन में, हर टेबल में 'अपडेट किए गए Nexus डिवाइस' कॉलम होता है. इसमें, हर समस्या के लिए अपडेट किए गए Nexus डिवाइसों की रेंज शामिल होती है. इस कॉलम में कुछ विकल्प होते हैं:
- सभी Nexus डिवाइस: अगर किसी समस्या का असर सभी Nexus डिवाइसों पर पड़ता है, तो टेबल में अपडेट किए गए Nexus डिवाइस कॉलम में “सभी Nexus” दिखेगा. “सभी Nexus” में ये काम करने वाले डिवाइस शामिल हैं: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, और Pixel C.
- कुछ Nexus डिवाइस: अगर किसी समस्या का असर सभी Nexus डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Nexus डिवाइस कॉलम में दी गई है.
- कोई Nexus डिवाइस नहीं: अगर समस्या का असर किसी Nexus डिवाइस पर नहीं पड़ा है, तो टेबल में अपडेट किए गए Nexus डिवाइस कॉलम में “कोई नहीं” दिखेगा.
4. रेफ़रंस कॉलम में मौजूद एंट्री किससे मैप होती हैं?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है. ये प्रीफ़िक्स इस तरह मैप होते हैं:
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
संशोधन
- 01 अगस्त, 2016: बुलेटिन पब्लिश किया गया.
- 02 अगस्त, 2016: AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.
- 16 अगस्त, 2016: CVE-2016-3856 को CVE-2016-2060 में बदला गया और रेफ़रंस यूआरएल को अपडेट किया गया.
- 21 अक्टूबर, 2016: CVE-2016-4486 में टाइप होने वाली गड़बड़ी को ठीक किया गया.