01 अगस्त 2016 को प्रकाशित | 21 अक्टूबर 2016 को अपडेट किया गया
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। अगस्त 05, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ीकरण देखें।
भागीदारों को 06 जुलाई, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाओं
- CVE-2016-3856 को CVE-2016-2060 में सही करने के लिए बुलेटिन को संशोधित किया गया।
- इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं जो Android भागीदारों को सभी Android उपकरणों में समान कमजोरियों के सबसेट को ठीक करने के लिए अधिक तेज़ी से आगे बढ़ने के लिए लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-08-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-08-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-08-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-08-01 और 2016-08-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित Nexus डिवाइसों को 05 अगस्त, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।
Android और Google सेवा में कमी
यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
- जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-3821, CVE-2016-3837
- एडम डोननफेल्ड एट अल। चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज लिमिटेड की: सीवीई-2016-2504
- चियाचिह वू ( @chiachih_wu ), मिंगजियान झोउ ( @Mingjian_Zhou ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-3844
- चियाचिह वू ( @chiachih_wu ), युआन-त्सुंग लो ( computernik@gmail.com) , और C0RE टीम के जुक्सियन जियांग: CVE-2016-3857
- डेविड बेंजामिन और गूगल के केनी रूट: CVE-2016-3840
- अलीबाबा मोबाइल सुरक्षा टीम के दावेई पेंग ( Vinc3nt4H ): CVE-2016-3822
- कीनलैब ( @keen_lab ) के डि शेन ( @returnsme ), Tencent: CVE-2016-3842
- डियान हैकबोर्न ऑफ़ गूगल: CVE-2016-2497
- Google डायनेमिक टूल टीम के दिमित्री व्युकोव: CVE-2016-3841
- आइसस्वॉर्ड लैब, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के गेंगजिया चेन ( @chengjia4574 ), pjf ( weibo.com/jfpan ) .: CVE-2016-3852
- अल्फा टीम, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के गुआंग गोंग (龚广) ( @oldfresher ) .: CVE-2016-3834
- Fortinet's FortiGuard Labs के काई लू ( @K3vinLuSec ): CVE-2016-3820
- कंडाला शिवराम रेड्डी, डीएस, और उप्पी: सीवीई-2016-3826
- मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैंडल ( @natecray ): CVE-2016-3847, CVE-2016-3848
- पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग, और अलीबाबा मोबाइल सुरक्षा समूह का यांग गीत: CVE-2016-3845
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-3849
- WooYun TangLab के कियानवेई हू ( rayxcp@gmail.com ) : CVE-2016-3846
- कीनलैब ( @keen_lab ), Tencent: CVE-2016-3832 के Qidan He ( @flanker_hqd )
- गूगल के शरविल नानावटी: सीवीई-2016-3839
- दूरसंचार में सुरक्षा के शिंजो पार्क ( @ad_ili_rai ) और अल्ताफ शेख: सीवीई-2016-3831
- टॉम रूटजंकी: सीवीई-2016-3853
- वसीली वासिलिव: सीवीई-2016-3819
- अलीबाबा इंक का वीचाओ सन ( @sunblate ): CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- ट्रेंड माइक्रो इंक के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-3843
- Tencent के Xuanwu LAB के योंगके वांग ( @Rudykewang ): CVE-2016-3836
हम CVE-2016-3843 जैसी कमजोरियों के एक वर्ग को कम करने के लिए प्लेटफ़ॉर्म स्तर के अपडेट के उनके योगदान के लिए कॉपरहेड सिक्योरिटी के डैनियल माइके, जेफ वेंडर स्टोएप और Google के याबिन कुई को धन्यवाद देना चाहते हैं। यह न्यूनीकरण ग्रेसिक्योरिटी के ब्रैड स्पेंगलर द्वारा किए गए कार्य पर आधारित है।
2016-08-01 सुरक्षा पैच स्तर—सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-08-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
Mediaserver में रिमोट कोड निष्पादन भेद्यता
Mediaserver में रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है। Mediaserver प्रक्रिया में ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3819 | ए-28533562 | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 मई 2016 |
सीवीई-2016-3820 | ए-28673410 | नाजुक | सभी नेक्सस | 6.0, 6.0.1 | 6 मई 2016 |
सीवीई-2016-3821 | ए-28166152 | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
libjhead में रिमोट कोड निष्पादन भेद्यता
libjhead में एक रिमोट कोड निष्पादन भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग कर एक हमलावर को एक अप्रतिबंधित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3822 | ए-28868315 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3823 | ए-28815329 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई 2016 |
सीवीई-2016-3824 | ए-28816827 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई 2016 |
सीवीई-2016-3825 | ए-28816964 | उच्च | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई 2016 |
सीवीई-2016-3826 | ए-29251553 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जून 9, 2016 |
Mediaserver में सेवा भेद्यता से इनकार
Mediaserver में सेवा सुरक्षाछिद्र से इनकार एक हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके डिवाइस को हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के अस्थायी दूरस्थ इनकार की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3827 | ए-28816956 | उच्च | सभी नेक्सस | 6.0.1 | 16 मई 2016 |
सीवीई-2016-3828 | ए-28835995 | उच्च | सभी नेक्सस | 6.0, 6.0.1 | 17 मई 2016 |
सीवीई-2016-3829 | ए-29023649 | उच्च | सभी नेक्सस | 6.0, 6.0.1 | 27 मई 2016 |
सीवीई-2016-3830 | ए-29153599 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
सिस्टम क्लॉक में सेवा भेद्यता से इनकार
सिस्टम क्लॉक में सेवा सुरक्षाछिद्र का इनकार एक दूरस्थ हमलावर को डिवाइस को क्रैश करने में सक्षम कर सकता है। सेवा के अस्थायी दूरस्थ इनकार की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3831 | ए-29083635 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 मई 2016 |
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जो एप्लिकेशन के अनुमति स्तरों से बाहर है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3832 | ए-28795098 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 मई 2016 |
शेल में विशेषाधिकार भेद्यता का उन्नयन
शेल में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता प्रतिबंधों जैसे डिवाइस बाधाओं को बायपास करने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता अनुमतियों का एक स्थानीय बायपास है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3833 | ए-29189712 [ 2 ] | संतुलित | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
ओपनएसएसएल में सूचना प्रकटीकरण भेद्यता
ओपनएसएसएल में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2842 | ए-29060514 | कोई भी नहीं* | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1 | मार्च 29, 2016 |
* समर्थित Nexus डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं
कैमरा एपीआई में सूचना प्रकटीकरण भेद्यता
कैमरा एपीआई में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा संरचनाओं तक पहुंचने की अनुमति दे सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3834 | ए-28466701 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | अप्रैल 28, 2016 |
Mediaserver में सूचना प्रकटीकरण भेद्यता
Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3835 | ए-28920116 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 मई 2016 |
सरफेसफ्लिंगर में सूचना प्रकटीकरण भेद्यता
सर्फेसफ्लिंगर सेवा में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3836 | ए-28592402 | संतुलित | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 मई 2016 |
वाई-फाई में सूचना प्रकटीकरण भेद्यता
वाई-फाई में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3837 | ए-28164077 | संतुलित | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
सिस्टम UI में सेवा भेद्यता से इनकार
सिस्टम UI में सेवा सुरक्षाछिद्र की अस्वीकृति एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को लॉक स्क्रीन से 911 कॉल को रोकने के लिए सक्षम कर सकती है। एक महत्वपूर्ण कार्य पर सेवा से वंचित होने की संभावना के कारण इस मुद्दे को मॉडरेट के रूप में दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3838 | ए-28761672 | संतुलित | सभी नेक्सस | 6.0, 6.0.1 | गूगल आंतरिक |
ब्लूटूथ में सेवा भेद्यता से इनकार
ब्लूटूथ में सेवा से इनकार करने से एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ब्लूटूथ डिवाइस से 911 कॉल को रोकने में सक्षम हो सकता है। एक महत्वपूर्ण कार्य पर सेवा से वंचित होने की संभावना के कारण इस मुद्दे को मॉडरेट के रूप में दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3839 | ए-28885210 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
2016-08-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-08-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
क्वालकॉम वाई-फाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता
क्वालकॉम वाई-फाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता रिमोट हमलावर को कर्नेल के संदर्भ में मनमानी कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2014-9902 | ए-28668638 | नाजुक | नेक्सस 7 (2013) | मार्च 31, 2014 |
कंसोल में रिमोट कोड निष्पादन भेद्यता
कंसक्रिप्ट में रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। रिमोट कोड के निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3840 | ए-28751153 | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
क्वालकॉम घटकों में विशेषाधिकार भेद्यता का उन्नयन
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइव, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
इन मुद्दों में से सबसे गंभीर को इस संभावना के कारण गंभीर के रूप में रेट किया गया है कि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाने कोड को निष्पादित कर सकता है जिससे स्थानीय स्थायी डिवाइस समझौता हो सकता है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2014-9863 | ए-28768146 | नाजुक | नेक्सस 5, नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9864 | ए-28747998 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 27, 2014 |
सीवीई-2014-9865 | ए-28748271 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 27, 2014 |
सीवीई-2014-9866 | ए-28747684 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9867 | ए-28749629 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9868 | ए-28749721 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9869 | ए-28749728 क्यूसी-सीआर#514711 [ 2 ] | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9870 | ए-28749743 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9871 | ए-28749803 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9872 | ए-28750155 | उच्च | नेक्सस 5 | मार्च 31, 2014 |
सीवीई-2014-9873 | ए-28750726 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9874 | ए-28751152 | उच्च | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9875 | ए-28767589 | उच्च | नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9876 | ए-28767796 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9877 | ए-28768281 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9878 | ए-28769208 | उच्च | नेक्सस 5 | अप्रैल 30, 2014 |
सीवीई-2014-9879 | ए-28769221 | उच्च | नेक्सस 5 | अप्रैल 30, 2014 |
सीवीई-2014-9880 | ए-28769352 | उच्च | नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9881 | ए-28769368 | उच्च | नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9882 | ए-28769546 क्यूसी-सीआर#552329 [ 2 ] | उच्च | नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9883 | ए-28769912 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9884 | ए-28769920 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9885 | ए-28769959 | उच्च | नेक्सस 5 | अप्रैल 30, 2014 |
सीवीई-2014-9886 | ए-28815575 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9887 | ए-28804057 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | जुलाई 3, 2014 |
सीवीई-2014-9888 | ए-28803642 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | अगस्त 29, 2014 |
सीवीई-2014-9889 | ए-28803645 | उच्च | नेक्सस 5 | 31 अक्टूबर 2014 |
सीवीई-2015-8937 | ए-28803962 | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 7 (2013) | मार्च 31, 2015 |
सीवीई-2015-8938 | ए-28804030 | उच्च | नेक्सस 6 | मार्च 31, 2015 |
सीवीई-2015-8939 | ए-28398884 | उच्च | नेक्सस 7 (2013) | अप्रैल 30, 2015 |
सीवीई-2015-8940 | ए-28813987 | उच्च | नेक्सस 6 | अप्रैल 30, 2015 |
सीवीई-2015-8941 | ए-28814502 | उच्च | नेक्सस 6, नेक्सस 7 (2013) | 29 मई 2015 |
सीवीई-2015-8942 | ए-28814652 | उच्च | नेक्सस 6 | जून 30, 2015 |
सीवीई-2015-8943 | ए-28815158 | उच्च | नेक्सस 5 | सितम्बर 11, 2015 |
सीवीई-2014-9891 | ए-28749283 | संतुलित | नेक्सस 5 | मार्च 13, 2014 |
सीवीई-2014-9890 | ए-28770207 | संतुलित | नेक्सस 5, नेक्सस 7 (2013) | जून 2, 2014 |
कर्नेल नेटवर्किंग घटक में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल नेटवर्किंग घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2015-2686 | ए-28759139 | नाजुक | सभी नेक्सस | मार्च 23, 2015 |
सीवीई-2016-3841 | ए-28746669 | नाजुक | सभी नेक्सस | दिसम्बर 3, 2015 |
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2504 | ए-28026365 क्यूसी-सीआर#1002974 | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | अप्रैल 5, 2016 |
सीवीई-2016-3842 | ए-28377352 क्यूसी-सीआर#1002974 | नाजुक | Nexus 5X, Nexus 6, Nexus 6P | अप्रैल 25, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
नोट: इस बुलेटिन में A-29119870 के तहत एक प्लेटफ़ॉर्म-स्तरीय अपडेट भी है जिसे इस वर्ग की कमजोरियों को कम करने के लिए डिज़ाइन किया गया है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3843 | ए-28886229* क्यूसी-सीआर#1011071 | नाजुक | Nexus 5X, Nexus 6P | अप्रैल 7, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3857 | ए-28522518* | नाजुक | नेक्सस 7 (2013) | 2 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल मेमोरी सिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल मेमोरी सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2015-1593 | ए-29577822 | उच्च | नेक्सस प्लेयर | फरवरी 13, 2015 |
सीवीई-2016-3672 | ए-28763575 | उच्च | नेक्सस प्लेयर | मार्च 25, 2016 |
कर्नेल ध्वनि घटक में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल ध्वनि घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-2544 | ए-28695438 | उच्च | सभी नेक्सस | जनवरी 19, 2016 |
सीवीई-2016-2546 | ए-28694392 | उच्च | पिक्सेल सी | जनवरी 19, 2016 |
सीवीई-2014-9904 | ए-28592007 | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर | 4 मई 2016 |
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2012-6701 | ए-28939037 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 2 मार्च 2016 |
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो किसी तृतीय-पक्ष एप्लिकेशन तक पहुंच योग्य नहीं हैं।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3844 | ए-28299517* एन-सीवीई-2016-3844 | उच्च | नेक्सस 9, पिक्सेल सी | अप्रैल 19, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3845 | ए-28399876* | उच्च | नेक्सस 5 | अप्रैल 20, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
सीरियल पेरिफेरल इंटरफेस ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
सीरियल पेरिफेरल इंटरफेस ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3846 | ए-28817378* | उच्च | Nexus 5X, Nexus 6P | 17 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3847 | ए-28871433* एन-सीवीई-2016-3847 | उच्च | नेक्सस 9 | 19 मई 2016 |
सीवीई-2016-3848 | ए-28919417* एन-सीवीई-2016-3848 | उच्च | नेक्सस 9 | 19 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
ION ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
ION ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3849 | ए-28939740 | उच्च | पिक्सेल सी | 24 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3850 | ए-27917291 | उच्च | Nexus 5, Nexus 5X, Nexus 6P, Nexus 7 (2013) | मार्च 28, 2016 |
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। हमलावरों के शोषण के लिए उपलब्ध कर्नेल हमले की सतह के कारण इस मुद्दे को उच्च के रूप में रेट किया गया है।
नोट: यह एक प्लेटफ़ॉर्म स्तर का अपडेट है जिसे CVE-2016-3843 (A-28086229) जैसी कमजोरियों के एक वर्ग को कम करने के लिए डिज़ाइन किया गया है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3843 | ए-29119870* | उच्च | सभी नेक्सस | 6.0, 6.1 | गूगल आंतरिक |
* इस मुद्दे के लिए एक पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
एलजी इलेक्ट्रॉनिक्स बूटलोडर में विशेषाधिकार भेद्यता का उन्नयन
एलजी इलेक्ट्रॉनिक्स बूटलोडर में विशेषाधिकार भेद्यता का उन्नयन एक हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3851 | ए-29189941* | उच्च | नेक्सस 5X | गूगल आंतरिक |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
इन मुद्दों में से सबसे गंभीर को इस संभावना के कारण उच्च के रूप में रेट किया गया है कि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा जैसे अपने अनुमति स्तरों के बाहर डेटा तक पहुंच सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2014-9892 | ए-28770164 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | जून 2, 2014 |
सीवीई-2015-8944 | ए-28814213 | उच्च | नेक्सस 6, नेक्सस 7 (2013) | अप्रैल 30, 2015 |
सीवीई-2014-9893 | ए-28747914 | संतुलित | नेक्सस 5 | मार्च 27, 2014 |
सीवीई-2014-9894 | ए-28749708 | संतुलित | नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9895 | ए-28750150 | संतुलित | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
सीवीई-2014-9896 | ए-28767593 | संतुलित | नेक्सस 5, नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9897 | ए-28769856 | संतुलित | नेक्सस 5 | अप्रैल 30, 2014 |
सीवीई-2014-9898 | ए-28814690 | संतुलित | नेक्सस 5, नेक्सस 7 (2013) | अप्रैल 30, 2014 |
सीवीई-2014-9899 | ए-28803909 | संतुलित | नेक्सस 5 | जुलाई 3, 2014 |
सीवीई-2014-9900 | ए-28803952 | संतुलित | नेक्सस 5, नेक्सस 7 (2013) | अगस्त 8, 2014 |
कर्नेल अनुसूचक में सूचना प्रकटीकरण भेद्यता
कर्नेल शेड्यूलर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2014-9903 | ए-28731691 | उच्च | Nexus 5X, Nexus 6P | फरवरी 21, 2014 |
मीडियाटेक वाई-फाई ड्राइवर (डिवाइस विशिष्ट) में सूचना प्रकटीकरण भेद्यता
मीडियाटेक वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3852 | ए-29141147* एम-एएलपीएस02751738 | उच्च | एंड्रॉयड वन | अप्रैल 12, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
USB ड्राइवर में सूचना प्रकटीकरण भेद्यता
USB ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-4482 | ए-28619695 | उच्च | सभी नेक्सस | 3 मई 2016 |
क्वालकॉम घटकों में सेवा भेद्यता से इनकार
नीचे दी गई तालिका में संभावित रूप से वाई-फाई ड्राइवर सहित क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां हैं।
इन मुद्दों में से सबसे गंभीर को इस संभावना के कारण उच्च के रूप में रेट किया गया है कि एक हमलावर सेवा के अस्थायी दूरस्थ इनकार का कारण बन सकता है जिसके परिणामस्वरूप डिवाइस हैंग या रीबूट हो सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2014-9901 | ए-28670333 | उच्च | नेक्सस 7 (2013) | मार्च 31, 2014 |
Google Play सेवाओं में विशेषाधिकार भेद्यता का उन्नयन
Google Play सेवाओं में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय हमलावर को फ़ैक्टरी रीसेट सुरक्षा को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकता है। फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की संभावना के कारण इसे मॉडरेट के रूप में रेट किया गया है, जिससे डिवाइस को सफलतापूर्वक रीसेट किया जा सकता है और इसके सभी डेटा को मिटा दिया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-3853 | ए-26803208* | संतुलित | सभी नेक्सस | कोई भी नहीं | 4 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन
जब उपयोगकर्ता को सूचित किए बिना एप्लिकेशन को अपडेट किया जा रहा हो, तो फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन एक पूर्व-स्थापित एप्लिकेशन को अपनी इंटेंट फ़िल्टर प्राथमिकता बढ़ाने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
---|---|---|---|---|---|
सीवीई-2016-2497 | ए-27450489 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
कर्नेल नेटवर्किंग घटक में सूचना प्रकटीकरण भेद्यता
कर्नेल नेटवर्किंग घटक में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-4486 | ए-28620102 | संतुलित | सभी नेक्सस | 3 मई 2016 |
कर्नेल ध्वनि घटक में सूचना प्रकटीकरण भेद्यता
कर्नेल ध्वनि घटक में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-4569 | ए-28980557 | संतुलित | सभी नेक्सस | 9 मई 2016 |
सीवीई-2016-4578 | ए-28980217 अपस्ट्रीम कर्नेल [ 2 ] | संतुलित | सभी नेक्सस | 11 मई 2016 |
क्वालकॉम घटकों में कमजोरियां
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
---|---|---|---|---|
सीवीई-2016-3854 | क्यूसी-सीआर#897326 | उच्च | कोई भी नहीं | फरवरी 2016 |
सीवीई-2016-3855 | क्यूसी-सीआर#990824 | उच्च | कोई भी नहीं | मई 2016 |
सीवीई-2016-2060 | क्यूसी-सीआर#959631 | संतुलित | कोई भी नहीं | अप्रैल 2016 |
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
2016-08-01 या बाद के सुरक्षा पैच स्तर 2016-08-01 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं। 2016-08-05 या बाद के सुरक्षा पैच स्तर 2016-08-05 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए सहायता केंद्र देखें। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-08-01] या [ro.build.version.security_patch]:[2016-08-05]।
2. इस बुलेटिन में दो सुरक्षा पैच स्तर के तार क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं, ताकि सभी Android उपकरणों में समान कमजोरियों के एक उपसमुच्चय को ठीक करने के लिए Android भागीदारों को अधिक तेज़ी से आगे बढ़ने की सुविधा प्रदान की जा सके। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर स्ट्रिंग का उपयोग करने के लिए प्रोत्साहित किया जाता है।
जो डिवाइस 5 अगस्त, 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।
1 अगस्त, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए। 1 अगस्त, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले डिवाइस में 5 अगस्त, 2016 सुरक्षा पैच स्तर से संबद्ध फ़िक्सेस का एक सबसेट भी शामिल हो सकता है।
3 . मैं यह कैसे निर्धारित करूं कि प्रत्येक मुद्दे से कौन से नेक्सस डिवाइस प्रभावित हैं?
2016-08-01 और 2016-08-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड नेक्सस डिवाइस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइस की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइस को प्रभावित करती है, तो टेबल में अपडेटेड नेक्सस डिवाइस कॉलम में "ऑल नेक्सस" होगा। "ऑल नेक्सस" निम्नलिखित समर्थित डिवाइस को एनकैप्सुलेट करता है: नेक्सस 5, नेक्सस 5 एक्स, नेक्सस 6, नेक्सस 6 पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
- कुछ Nexus डिवाइस : यदि कोई समस्या सभी Nexus डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Nexus डिवाइस अपडेट किए गए Nexus डिवाइस कॉलम में सूचीबद्ध होते हैं.
- कोई Nexus डिवाइस नहीं : यदि कोई Nexus डिवाइस इस समस्या से प्रभावित नहीं हैं, तो तालिका में अपडेट किए गए Nexus डिवाइस कॉलम में "कोई नहीं" होगा।
4. संदर्भ कॉलम में प्रविष्टियाँ किस लिए मैप करती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग निम्नानुसार मानचित्र करते हैं:
उपसर्ग | संदर्भ |
---|---|
ए- | एंड्रॉइड बग आईडी |
क्यूसी- | क्वालकॉम संदर्भ संख्या |
एम- | मीडियाटेक संदर्भ संख्या |
एन- | NVIDIA संदर्भ संख्या |
संशोधन
- 01 अगस्त 2016: बुलेटिन प्रकाशित।
- 02 अगस्त 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- 16 अगस्त, 2016: CVE-2016-3856 को CVE-2016-2060 में संशोधित किया गया और संदर्भ URL को अपडेट किया गया।
- 21 अक्टूबर 2016: सीवीई-2016-4486 में सही टाइपो।