01 अगस्त 2016 को प्रकाशित | 21 अक्टूबर 2016 को अद्यतन किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 अगस्त 2016 या उसके बाद के सुरक्षा पैच स्तर इन मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ देखें।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 06 जुलाई 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाएं
- बुलेटिन को सीवीई-2016-3856 को सही करके सीवीई-2016-2060 में संशोधित किया गया।
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को ठीक करने के लिए अधिक तेज़ी से आगे बढ़ने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-08-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-08-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-08-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-08-01 और 2016-08-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित नेक्सस डिवाइस को 05 अगस्त 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-3821, CVE-2016-3837
- एडम डोननफेल्ड एट अल। चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज लिमिटेड का: सीवीई-2016-2504
- चियाचिह वू ( @chiachih_wu ), मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3844
- चियाचिह वू ( @chiachih_wu ), युआन-त्सुंग लो ( computernik@gmail.com) , और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3857
- Google के डेविड बेंजामिन और केनी रूट: CVE-2016-3840
- अलीबाबा मोबाइल सुरक्षा टीम के दावेई पेंग ( Vinc3nt4H ): CVE-2016-3822
- कीनलैब के डि शेन ( @returnsme ), टेनसेंट: CVE- 2016-3842
- Google की डायने हैकबॉर्न: CVE-2016-2497
- Google डायनामिक टूल्स टीम के दिमित्री व्युकोव: CVE-2016-3841
- गेंग्जिया चेन ( @chengjia4574 ), आइसस्वॉर्ड लैब के पीजेएफ ( weibo.com/jfpan ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड : CVE-2016-3852
- अल्फ़ा टीम के गुआंग गोंग (龚广) ( @oldfresher ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड : CVE-2016-3834
- फोर्टिनेट की फोर्टीगार्ड लैब्स के काई लू ( @K3vinLuSec ): CVE-2016-3820
- कंडाला शिवराम रेड्डी, डीएस, और उप्पी: सीवीई-2016-3826
- मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे ): CVE-2016-3847, CVE-2016-3848
- पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग और अलीबाबा मोबाइल सिक्योरिटी ग्रुप का यांग गीत: सीवीई-2016-3845
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-3849
- वूयुन टैंगलैब के कियानवेई हू ( rayxcp@gmail.com ) : CVE-2016-3846
- किदान हे ( @flanker_hqd ) कीनलैब ( @keen_lab ), टेनसेंट: CVE-2016-3832
- Google के शर्विल नानावटी: CVE-2016-3839
- शिंजो पार्क ( @ad_ili_rai ) और दूरसंचार में सुरक्षा के अल्ताफ शेख: CVE-2016-3831
- टॉम रूटजंकी: सीवीई-2016-3853
- वसीली वासिलिव: सीवीई-2016-3819
- अलीबाबा इंक. के वीचाओ सन ( @sunblate ): CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-3843
- टेनसेंट के ज़ुआनवु लैब के योंगके वांग ( @Rudykewang ): CVE-2016-3836
हम CVE-2016-3843 जैसी कमजोरियों के एक वर्ग को कम करने के लिए प्लेटफ़ॉर्म स्तर के अपडेट में उनके योगदान के लिए कॉपरहेड सिक्योरिटी के डैनियल मिके, जेफ वेंडर स्टॉप और Google के याबिन कुई को धन्यवाद देना चाहते हैं। यह शमन ग्रैसिक्युरिटी के ब्रैड स्पेंगलर के काम पर आधारित है।
2016-08-01 सुरक्षा पैच स्तर—सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-08-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे कि एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता
मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है। मीडियासर्वर प्रक्रिया में ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जिन्हें तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3819 | ए-28533562 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 मई 2016 |
सीवीई-2016-3820 | ए-28673410 | गंभीर | सभी नेक्सस | 6.0, 6.0.1 | 6 मई 2016 |
सीवीई-2016-3821 | ए-28166152 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
लिबजहेड में रिमोट कोड निष्पादन भेद्यता
लिबजहेड में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3822 | ए-28868315 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3823 | ए-28815329 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई 2016 |
सीवीई-2016-3824 | ए-28816827 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई 2016 |
सीवीई-2016-3825 | ए-28816964 | उच्च | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई 2016 |
सीवीई-2016-3826 | ए-29251553 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 जून 2016 |
मीडियासर्वर में सेवा भेद्यता का खंडन
मीडियासर्वर में सेवा से इनकार की भेद्यता एक हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3827 | ए-28816956 | उच्च | सभी नेक्सस | 6.0.1 | 16 मई 2016 |
सीवीई-2016-3828 | ए-28835995 | उच्च | सभी नेक्सस | 6.0, 6.0.1 | 17 मई 2016 |
सीवीई-2016-3829 | ए-29023649 | उच्च | सभी नेक्सस | 6.0, 6.0.1 | 27 मई 2016 |
सीवीई-2016-3830 | ए-29153599 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
सिस्टम क्लॉक में सेवा भेद्यता का खंडन
सिस्टम क्लॉक में सेवा से इनकार की भेद्यता एक दूरस्थ हमलावर को डिवाइस को क्रैश करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3831 | ए-29083635 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 मई 2016 |
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग एप्लिकेशन के अनुमति स्तर से बाहर के डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3832 | ए-28795098 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 मई 2016 |
शेल में विशेषाधिकार भेद्यता का बढ़ना
शेल में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता प्रतिबंधों जैसी डिवाइस बाधाओं को बायपास करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि यह उपयोगकर्ता अनुमतियों का स्थानीय बाईपास है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3833 | ए-29189712 [ 2 ] | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
ओपनएसएसएल में सूचना प्रकटीकरण भेद्यता
ओपनएसएसएल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-2842 | ए-29060514 | कोई नहीं* | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1 | मार्च 29, 2016 |
* समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं
कैमरा एपीआई में सूचना प्रकटीकरण भेद्यता
कैमरा एपीआई में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा संरचनाओं तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3834 | ए-28466701 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | अप्रैल 28, 2016 |
मीडियासर्वर में सूचना प्रकटीकरण भेद्यता
मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3835 | ए-28920116 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 मई 2016 |
सरफेसफ्लिंगर में सूचना प्रकटीकरण भेद्यता
सरफेसफ्लिंगर सेवा में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3836 | ए-28592402 | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 मई 2016 |
वाई-फाई में सूचना प्रकटीकरण भेद्यता
वाई-फाई में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3837 | ए-28164077 | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
सिस्टम यूआई में सेवा भेद्यता का खंडन
सिस्टम यूआई में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को लॉक स्क्रीन से 911 कॉल को रोकने में सक्षम कर सकता है। किसी महत्वपूर्ण कार्य पर सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3838 | ए-28761672 | मध्यम | सभी नेक्सस | 6.0, 6.0.1 | गूगल आंतरिक |
ब्लूटूथ में सेवा भेद्यता का खंडन
ब्लूटूथ में सेवा से इनकार की भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ब्लूटूथ डिवाइस से 911 कॉल को रोकने में सक्षम कर सकती है। किसी महत्वपूर्ण कार्य पर सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3839 | ए-28885210 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
2016-08-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-08-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
क्वालकॉम वाई-फ़ाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता
क्वालकॉम वाई-फाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2014-9902 | ए-28668638 | गंभीर | नेक्सस 7 (2013) | मार्च 31, 2014 |
कॉन्स्क्रिप्ट में रिमोट कोड निष्पादन भेद्यता
कॉन्स्क्रिप्ट में एक दूरस्थ कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3840 | ए-28751153 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
क्वालकॉम घटकों में विशेषाधिकार भेद्यता का बढ़ना
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइव, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
इनमें से सबसे गंभीर समस्या को इस संभावना के कारण गंभीर दर्जा दिया गया है कि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित कर सकता है, जिससे स्थानीय स्थायी डिवाइस समझौता हो सकता है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2014-9863 | ए-28768146 | गंभीर | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9864 | ए-28747998 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 27 मार्च 2014 |
सीवीई-2014-9865 | ए-28748271 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 27 मार्च 2014 |
सीवीई-2014-9866 | ए-28747684 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9867 | ए-28749629 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9868 | ए-28749721 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9869 | ए-28749728 क्यूसी-सीआर#514711 [ 2 ] | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9870 | ए-28749743 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9871 | ए-28749803 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9872 | ए-28750155 | उच्च | नेक्सस 5 | मार्च 31, 2014 |
सीवीई-2014-9873 | ए-28750726 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9874 | ए-28751152 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6पी, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9875 | ए-28767589 | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9876 | ए-28767796 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9877 | ए-28768281 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9878 | ए-28769208 | उच्च | नेक्सस 5 | 30 अप्रैल 2014 |
सीवीई-2014-9879 | ए-28769221 | उच्च | नेक्सस 5 | 30 अप्रैल 2014 |
सीवीई-2014-9880 | ए-28769352 | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9881 | ए-28769368 | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9882 | ए-28769546 क्यूसी-सीआर#552329 [ 2 ] | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9883 | ए-28769912 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9884 | ए-28769920 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9885 | ए-28769959 | उच्च | नेक्सस 5 | 30 अप्रैल 2014 |
सीवीई-2014-9886 | ए-28815575 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9887 | ए-28804057 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 3 जुलाई 2014 |
सीवीई-2014-9888 | ए-28803642 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 29 अगस्त 2014 |
सीवीई-2014-9889 | ए-28803645 | उच्च | नेक्सस 5 | 31 अक्टूबर 2014 |
सीवीई-2015-8937 | ए-28803962 | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 7 (2013) | मार्च 31, 2015 |
सीवीई-2015-8938 | ए-28804030 | उच्च | नेक्सस 6 | मार्च 31, 2015 |
सीवीई-2015-8939 | ए-28398884 | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2015 |
सीवीई-2015-8940 | ए-28813987 | उच्च | नेक्सस 6 | 30 अप्रैल 2015 |
सीवीई-2015-8941 | ए-28814502 | उच्च | नेक्सस 6, नेक्सस 7 (2013) | 29 मई 2015 |
सीवीई-2015-8942 | ए-28814652 | उच्च | नेक्सस 6 | 30 जून 2015 |
सीवीई-2015-8943 | ए-28815158 | उच्च | नेक्सस 5 | सितम्बर 11, 2015 |
सीवीई-2014-9891 | ए-28749283 | मध्यम | नेक्सस 5 | मार्च 13, 2014 |
सीवीई-2014-9890 | ए-28770207 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | 2 जून 2014 |
कर्नेल नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2015-2686 | ए-28759139 | गंभीर | सभी नेक्सस | मार्च 23, 2015 |
सीवीई-2016-3841 | ए-28746669 | गंभीर | सभी नेक्सस | 3 दिसंबर 2015 |
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-2504 | ए-28026365 क्यूसी-सीआर#1002974 | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013) | 5 अप्रैल 2016 |
सीवीई-2016-3842 | ए-28377352 क्यूसी-सीआर#1002974 | गंभीर | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी | 25 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
ध्यान दें: इस बुलेटिन में ए-29119870 के तहत एक प्लेटफ़ॉर्म-स्तरीय अपडेट भी है जो इस वर्ग की कमजोरियों को कम करने के लिए डिज़ाइन किया गया है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3843 | ए-28086229* क्यूसी-सीआर#1011071 | गंभीर | नेक्सस 5एक्स, नेक्सस 6पी | 7 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3857 | ए-28522518* | गंभीर | नेक्सस 7 (2013) | 2 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल मेमोरी सिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल मेमोरी सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2015-1593 | ए-29577822 | उच्च | नेक्सस प्लेयर | फ़रवरी 13, 2015 |
सीवीई-2016-3672 | ए-28763575 | उच्च | नेक्सस प्लेयर | मार्च 25, 2016 |
कर्नेल ध्वनि घटक में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल ध्वनि घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-2544 | ए-28695438 | उच्च | सभी नेक्सस | 19 जनवरी 2016 |
सीवीई-2016-2546 | ए-28694392 | उच्च | पिक्सेल सी | 19 जनवरी 2016 |
सीवीई-2014-9904 | ए-28592007 | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर | 4 मई 2016 |
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2012-6701 | ए-28939037 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 2 मार्च 2016 |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3844 | ए-28299517* एन-सीवीई-2016-3844 | उच्च | नेक्सस 9, पिक्सेल सी | 19 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3845 | ए-28399876* | उच्च | नेक्सस 5 | 20 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
सीरियल पेरिफेरल इंटरफ़ेस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
सीरियल पेरिफेरल इंटरफ़ेस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3846 | ए-28817378* | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | 17 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3847 | ए-28871433* एन-सीवीई-2016-3847 | उच्च | नेक्सस 9 | 19 मई 2016 |
सीवीई-2016-3848 | ए-28919417* एन-सीवीई-2016-3848 | उच्च | नेक्सस 9 | 19 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3849 | ए-28939740 | उच्च | पिक्सेल सी | 24 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3850 | ए-27917291 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6पी, नेक्सस 7 (2013) | मार्च 28, 2016 |
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार कमजोरियों का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। हमलावरों के शोषण के लिए कर्नेल आक्रमण सतह उपलब्ध होने के कारण इस समस्या को उच्च दर्जा दिया गया है।
नोट: यह एक प्लेटफ़ॉर्म स्तरीय अपडेट है जिसे CVE-2016-3843 (A-28086229) जैसी कमजोरियों के वर्ग को कम करने के लिए डिज़ाइन किया गया है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
---|---|---|---|---|---|
सीवीई-2016-3843 | ए-29119870* | उच्च | सभी नेक्सस | 6.0, 6.1 | गूगल आंतरिक |
* इस मुद्दे का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
एलजी इलेक्ट्रॉनिक्स बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना
एलजी इलेक्ट्रॉनिक्स बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना एक हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3851 | ए-29189941* | उच्च | नेक्सस 5X | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
इनमें से सबसे गंभीर समस्या को इस संभावना के कारण उच्च रेटिंग दी गई है कि कोई स्थानीय दुर्भावनापूर्ण एप्लिकेशन अपने अनुमति स्तर के बाहर डेटा तक पहुंच सकता है जैसे कि स्पष्ट उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2014-9892 | ए-28770164 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 2 जून 2014 |
सीवीई-2015-8944 | ए-28814213 | उच्च | नेक्सस 6, नेक्सस 7 (2013) | 30 अप्रैल 2015 |
सीवीई-2014-9893 | ए-28747914 | मध्यम | नेक्सस 5 | 27 मार्च 2014 |
सीवीई-2014-9894 | ए-28749708 | मध्यम | नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9895 | ए-28750150 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9896 | ए-28767593 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9897 | ए-28769856 | मध्यम | नेक्सस 5 | 30 अप्रैल 2014 |
सीवीई-2014-9898 | ए-28814690 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
सीवीई-2014-9899 | ए-28803909 | मध्यम | नेक्सस 5 | 3 जुलाई 2014 |
सीवीई-2014-9900 | ए-28803952 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | 8 अगस्त 2014 |
कर्नेल अनुसूचक में सूचना प्रकटीकरण भेद्यता
कर्नेल शेड्यूलर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2014-9903 | ए-28731691 | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | 21 फरवरी 2014 |
मीडियाटेक वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता (डिवाइस विशिष्ट)
मीडियाटेक वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
---|---|---|---|---|
सीवीई-2016-3852 | ए-29141147* एम-एएलपीएस02751738 | उच्च | एंड्रॉयड वन | 12 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
USB ड्राइवर में सूचना प्रकटीकरण भेद्यता
An information disclosure vulnerability in the USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.
CVE | References | Severity | Updated Nexus devices | Date reported |
---|---|---|---|---|
CVE-2016-4482 | A-28619695 | High | All Nexus | May 3, 2016 |
Denial of service vulnerability in Qualcomm components
The table below contains security vulnerabilities affecting Qualcomm components, potentially including the Wi-Fi driver.
The most severe of these issues is rated as High due to the possibility that an attacker could cause a temporary remote denial of service resulting in a device hang or reboot.
CVE | References | Severity | Updated Nexus devices | Date reported |
---|---|---|---|---|
CVE-2014-9901 | A-28670333 | High | Nexus 7 (2013) | Mar 31, 2014 |
Elevation of privilege vulnerability in Google Play services
An elevation of privilege vulnerability in Google Play services could allow a local attacker to bypass the Factory Reset Protection and gain access to the device. This is rated as Moderate due to the possibility of bypassing Factory Reset Protection, which could lead to successfully resetting the device and erasing all its data.
CVE | References | Severity | Updated Nexus devices | Updated AOSP versions | Date reported |
---|---|---|---|---|---|
CVE-2016-3853 | A-26803208* | Moderate | All Nexus | None | May 4, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Elevation of privilege vulnerability in Framework APIs
An elevation of privilege vulnerability in the framework APIs could enable a pre-installed application to increase its intent filter priority when the application is being updated without the user being notified. This issue is rated as Moderate because it could be used to gain elevated capabilities without explicit user permission.
CVE | References | Severity | Updated Nexus devices | Updated AOSP versions | Date reported |
---|---|---|---|---|---|
CVE-2016-2497 | A-27450489 | Moderate | All Nexus | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google internal |
Information disclosure vulnerability in kernel networking component
An information disclosure vulnerability in the kernel networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
CVE | References | Severity | Updated Nexus devices | Date reported |
---|---|---|---|---|
CVE-2016-4486 | A-28620102 | Moderate | All Nexus | May 3, 2016 |
Information disclosure vulnerability in kernel sound component
An information disclosure vulnerability in the kernel sound component could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.
CVE | References | Severity | Updated Nexus devices | Date reported |
---|---|---|---|---|
CVE-2016-4569 | A-28980557 | Moderate | All Nexus | May 9, 2016 |
CVE-2016-4578 | A-28980217 Upstream kernel [ 2 ] | Moderate | All Nexus | May 11, 2016 |
Vulnerabilities in Qualcomm components
The table below contains security vulnerabilities affecting Qualcomm components, potentially including the bootloader, camera driver, character driver, networking, sound driver, and video driver.
CVE | References | Severity | Updated Nexus devices | Date reported |
---|---|---|---|---|
CVE-2016-3854 | QC-CR#897326 | High | None | Feb 2016 |
CVE-2016-3855 | QC-CR#990824 | High | None | May 2016 |
CVE-2016-2060 | QC-CR#959631 | Moderate | None | Apr 2016 |
Common Questions and Answers
This section answers common questions that may occur after reading this bulletin.
1. How do I determine if my device is updated to address these issues?
Security Patch Levels of 2016-08-01 or later address all issues associated with the 2016-08-01 security patch string level. Security Patch Levels of 2016-08-05 or later address all issues associated with the 2016-08-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-08-01] or [ro.build.version.security_patch]:[2016-08-05].
2. Why does this bulletin have two security patch level strings?
This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.
Devices that use the security patch level of August 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.
Devices that use the August 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use August 1, 2016 security patch level may also include a subset of fixes associated with the August 5, 2016 security patch level.
3 . How do I determine which Nexus devices are affected by each issue?
In the 2016-08-01 and 2016-08-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:
- All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
- Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
- No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.
4. What do the entries in the references column map to?
Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:
Prefix | Reference |
---|---|
A- | Android bug ID |
QC- | Qualcomm reference number |
M- | MediaTek reference number |
N- | NVIDIA reference number |
Revisions
- August 01, 2016: Bulletin published.
- August 02, 2016: Bulletin revised to include AOSP links.
- August 16, 2016: CVE-2016-3856 corrected to CVE-2016-2060 and updated the reference URL.
- October 21, 2016: Corrected typo in CVE-2016-4486.