Android सुरक्षा बुलेटिन—अगस्त 2016

01 अगस्त 2016 को प्रकाशित | 21 अक्टूबर 2016 को अद्यतन किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 अगस्त 2016 या उसके बाद के सुरक्षा पैच स्तर इन मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 06 जुलाई 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाएं

  • बुलेटिन को सीवीई-2016-3856 को सही करके सीवीई-2016-2060 में संशोधित किया गया।
  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को ठीक करने के लिए अधिक तेज़ी से आगे बढ़ने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2016-08-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-08-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2016-08-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-08-01 और 2016-08-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित नेक्सस डिवाइस को 05 अगस्त 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-3821, CVE-2016-3837
  • एडम डोननफेल्ड एट अल। चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज लिमिटेड का: सीवीई-2016-2504
  • चियाचिह वू ( @chiachih_wu ), मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3844
  • चियाचिह वू ( @chiachih_wu ), युआन-त्सुंग लो ( computernik@gmail.com) , और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3857
  • Google के डेविड बेंजामिन और केनी रूट: CVE-2016-3840
  • अलीबाबा मोबाइल सुरक्षा टीम के दावेई पेंग ( Vinc3nt4H ): CVE-2016-3822
  • कीनलैब के डि शेन ( @returnsme ), टेनसेंट: CVE- 2016-3842
  • Google की डायने हैकबॉर्न: CVE-2016-2497
  • Google डायनामिक टूल्स टीम के दिमित्री व्युकोव: CVE-2016-3841
  • गेंग्जिया चेन ( @chengjia4574 ), आइसस्वॉर्ड लैब के पीजेएफ ( weibo.com/jfpan ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड : CVE-2016-3852
  • अल्फ़ा टीम के गुआंग गोंग (龚广) ( @oldfresher ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड : CVE-2016-3834
  • फोर्टिनेट की फोर्टीगार्ड लैब्स के काई लू ( @K3vinLuSec ): CVE-2016-3820
  • कंडाला शिवराम रेड्डी, डीएस, और उप्पी: सीवीई-2016-3826
  • मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
  • टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे ): CVE-2016-3847, CVE-2016-3848
  • पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग और अलीबाबा मोबाइल सिक्योरिटी ग्रुप का यांग गीत: सीवीई-2016-3845
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-3849
  • वूयुन टैंगलैब के कियानवेई हू ( rayxcp@gmail.com ) : CVE-2016-3846
  • किदान हे ( @flanker_hqd ) कीनलैब ( @keen_lab ), टेनसेंट: CVE-2016-3832
  • Google के शर्विल नानावटी: CVE-2016-3839
  • शिंजो पार्क ( @ad_ili_rai ) और दूरसंचार में सुरक्षा के अल्ताफ शेख: CVE-2016-3831
  • टॉम रूटजंकी: सीवीई-2016-3853
  • वसीली वासिलिव: सीवीई-2016-3819
  • अलीबाबा इंक. के वीचाओ सन ( @sunblate ): CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
  • ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-3843
  • टेनसेंट के ज़ुआनवु लैब के योंगके वांग ( @Rudykewang ): CVE-2016-3836

हम CVE-2016-3843 जैसी कमजोरियों के एक वर्ग को कम करने के लिए प्लेटफ़ॉर्म स्तर के अपडेट में उनके योगदान के लिए कॉपरहेड सिक्योरिटी के डैनियल मिके, जेफ वेंडर स्टॉप और Google के याबिन कुई को धन्यवाद देना चाहते हैं। यह शमन ग्रैसिक्युरिटी के ब्रैड स्पेंगलर के काम पर आधारित है।

2016-08-01 सुरक्षा पैच स्तर—सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-08-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे कि एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है। मीडियासर्वर प्रक्रिया में ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जिन्हें तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3819 ए-28533562 गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 मई 2016
सीवीई-2016-3820 ए-28673410 गंभीर सभी नेक्सस 6.0, 6.0.1 6 मई 2016
सीवीई-2016-3821 ए-28166152 गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

लिबजहेड में रिमोट कोड निष्पादन भेद्यता

लिबजहेड में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3822 ए-28868315 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3823 ए-28815329 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 मई 2016
सीवीई-2016-3824 ए-28816827 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 मई 2016
सीवीई-2016-3825 ए-28816964 उच्च सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 17 मई 2016
सीवीई-2016-3826 ए-29251553 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 9 जून 2016

मीडियासर्वर में सेवा भेद्यता का खंडन

मीडियासर्वर में सेवा से इनकार की भेद्यता एक हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3827 ए-28816956 उच्च सभी नेक्सस 6.0.1 16 मई 2016
सीवीई-2016-3828 ए-28835995 उच्च सभी नेक्सस 6.0, 6.0.1 17 मई 2016
सीवीई-2016-3829 ए-29023649 उच्च सभी नेक्सस 6.0, 6.0.1 27 मई 2016
सीवीई-2016-3830 ए-29153599 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

सिस्टम क्लॉक में सेवा भेद्यता का खंडन

सिस्टम क्लॉक में सेवा से इनकार की भेद्यता एक दूरस्थ हमलावर को डिवाइस को क्रैश करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3831 ए-29083635 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 31 मई 2016

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग एप्लिकेशन के अनुमति स्तर से बाहर के डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3832 ए-28795098 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 मई 2016

शेल में विशेषाधिकार भेद्यता का बढ़ना

शेल में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता प्रतिबंधों जैसी डिवाइस बाधाओं को बायपास करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि यह उपयोगकर्ता अनुमतियों का स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3833 ए-29189712 [ 2 ] मध्यम सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

ओपनएसएसएल में सूचना प्रकटीकरण भेद्यता

ओपनएसएसएल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2842 ए-29060514 कोई नहीं* सभी नेक्सस 4.4.4, 5.0.2, 5.1.1 मार्च 29, 2016

* समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं

कैमरा एपीआई में सूचना प्रकटीकरण भेद्यता

कैमरा एपीआई में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा संरचनाओं तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3834 ए-28466701 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 28, 2016

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3835 ए-28920116 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 मई 2016

सरफेसफ्लिंगर में सूचना प्रकटीकरण भेद्यता

सरफेसफ्लिंगर सेवा में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3836 ए-28592402 मध्यम सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 4 मई 2016

वाई-फाई में सूचना प्रकटीकरण भेद्यता

वाई-फाई में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3837 ए-28164077 मध्यम सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

सिस्टम यूआई में सेवा भेद्यता का खंडन

सिस्टम यूआई में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को लॉक स्क्रीन से 911 कॉल को रोकने में सक्षम कर सकता है। किसी महत्वपूर्ण कार्य पर सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3838 ए-28761672 मध्यम सभी नेक्सस 6.0, 6.0.1 गूगल आंतरिक

ब्लूटूथ में सेवा भेद्यता का खंडन

ब्लूटूथ में सेवा से इनकार की भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ब्लूटूथ डिवाइस से 911 कॉल को रोकने में सक्षम कर सकती है। किसी महत्वपूर्ण कार्य पर सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3839 ए-28885210 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

2016-08-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-08-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

क्वालकॉम वाई-फ़ाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता

क्वालकॉम वाई-फाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2014-9902 ए-28668638

क्यूसी-सीआर#553937
क्यूसी-सीआर#553941

गंभीर नेक्सस 7 (2013) मार्च 31, 2014

कॉन्स्क्रिप्ट में रिमोट कोड निष्पादन भेद्यता

कॉन्स्क्रिप्ट में एक दूरस्थ कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3840 ए-28751153 गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

क्वालकॉम घटकों में विशेषाधिकार भेद्यता का बढ़ना

नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइव, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।

इनमें से सबसे गंभीर समस्या को इस संभावना के कारण गंभीर दर्जा दिया गया है कि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित कर सकता है, जिससे स्थानीय स्थायी डिवाइस समझौता हो सकता है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2014-9863 ए-28768146

क्यूसी-सीआर#549470

गंभीर नेक्सस 5, नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9864 ए-28747998

क्यूसी-सीआर#561841

उच्च नेक्सस 5, नेक्सस 7 (2013) 27 मार्च 2014
सीवीई-2014-9865 ए-28748271

क्यूसी-सीआर#550013

उच्च नेक्सस 5, नेक्सस 7 (2013) 27 मार्च 2014
सीवीई-2014-9866 ए-28747684

क्यूसी-सीआर#511358

उच्च नेक्सस 5, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9867 ए-28749629

क्यूसी-सीआर#514702

उच्च नेक्सस 5, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9868 ए-28749721

क्यूसी-सीआर#511976

उच्च नेक्सस 5, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9869 ए-28749728

क्यूसी-सीआर#514711 [ 2 ]

उच्च नेक्सस 5, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9870 ए-28749743

क्यूसी-सीआर#561044

उच्च नेक्सस 5, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9871 ए-28749803

क्यूसी-सीआर#514717

उच्च नेक्सस 5, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9872 ए-28750155

क्यूसी-सीआर#590721

उच्च नेक्सस 5 मार्च 31, 2014
सीवीई-2014-9873 ए-28750726

क्यूसी-सीआर#556860

उच्च नेक्सस 5, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9874 ए-28751152

क्यूसी-सीआर#563086

उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6पी, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9875 ए-28767589

क्यूसी-सीआर#483310

उच्च नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9876 ए-28767796

क्यूसी-सीआर#483408

उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9877 ए-28768281

क्यूसी-सीआर#547231

उच्च नेक्सस 5, नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9878 ए-28769208

क्यूसी-सीआर#547479

उच्च नेक्सस 5 30 अप्रैल 2014
सीवीई-2014-9879 ए-28769221

क्यूसी-सीआर#524490

उच्च नेक्सस 5 30 अप्रैल 2014
सीवीई-2014-9880 ए-28769352

क्यूसी-सीआर#556356

उच्च नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9881 ए-28769368

क्यूसी-सीआर#539008

उच्च नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9882 ए-28769546

क्यूसी-सीआर#552329 [ 2 ]

उच्च नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9883 ए-28769912

क्यूसी-सीआर#565160

उच्च नेक्सस 5, नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9884 ए-28769920

क्यूसी-सीआर#580740

उच्च नेक्सस 5, नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9885 ए-28769959

क्यूसी-सीआर#562261

उच्च नेक्सस 5 30 अप्रैल 2014
सीवीई-2014-9886 ए-28815575

क्यूसी-सीआर#555030

उच्च नेक्सस 5, नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9887 ए-28804057

क्यूसी-सीआर#636633

उच्च नेक्सस 5, नेक्सस 7 (2013) 3 जुलाई 2014
सीवीई-2014-9888 ए-28803642

क्यूसी-सीआर#642735

उच्च नेक्सस 5, नेक्सस 7 (2013) 29 अगस्त 2014
सीवीई-2014-9889 ए-28803645

क्यूसी-सीआर#674712

उच्च नेक्सस 5 31 अक्टूबर 2014
सीवीई-2015-8937 ए-28803962

क्यूसी-सीआर#770548

उच्च नेक्सस 5, नेक्सस 6, नेक्सस 7 (2013) मार्च 31, 2015
सीवीई-2015-8938 ए-28804030

क्यूसी-सीआर#766022

उच्च नेक्सस 6 मार्च 31, 2015
सीवीई-2015-8939 ए-28398884

क्यूसी-सीआर#779021

उच्च नेक्सस 7 (2013) 30 अप्रैल 2015
सीवीई-2015-8940 ए-28813987

क्यूसी-सीआर#792367

उच्च नेक्सस 6 30 अप्रैल 2015
सीवीई-2015-8941 ए-28814502

क्यूसी-सीआर#792473

उच्च नेक्सस 6, नेक्सस 7 (2013) 29 मई 2015
सीवीई-2015-8942 ए-28814652

क्यूसी-सीआर#803246

उच्च नेक्सस 6 30 जून 2015
सीवीई-2015-8943 ए-28815158

क्यूसी-सीआर#794217

क्यूसी-सीआर#836226

उच्च नेक्सस 5 सितम्बर 11, 2015
सीवीई-2014-9891 ए-28749283

क्यूसी-सीआर#550061

मध्यम नेक्सस 5 मार्च 13, 2014
सीवीई-2014-9890 ए-28770207

क्यूसी-सीआर#529177

मध्यम नेक्सस 5, नेक्सस 7 (2013) 2 जून 2014

कर्नेल नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-2686 ए-28759139

अपस्ट्रीम कर्नेल

गंभीर सभी नेक्सस मार्च 23, 2015
सीवीई-2016-3841 ए-28746669

अपस्ट्रीम कर्नेल

गंभीर सभी नेक्सस 3 दिसंबर 2015

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2504 ए-28026365

क्यूसी-सीआर#1002974

गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013) 5 अप्रैल 2016
सीवीई-2016-3842 ए-28377352

क्यूसी-सीआर#1002974

गंभीर नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 25 अप्रैल 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

ध्यान दें: इस बुलेटिन में ए-29119870 के तहत एक प्लेटफ़ॉर्म-स्तरीय अपडेट भी है जो इस वर्ग की कमजोरियों को कम करने के लिए डिज़ाइन किया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3843 ए-28086229*

क्यूसी-सीआर#1011071

गंभीर नेक्सस 5एक्स, नेक्सस 6पी 7 अप्रैल 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3857 ए-28522518* गंभीर नेक्सस 7 (2013) 2 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल मेमोरी सिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल मेमोरी सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-1593 ए-29577822

अपस्ट्रीम कर्नेल

उच्च नेक्सस प्लेयर फ़रवरी 13, 2015
सीवीई-2016-3672 ए-28763575

अपस्ट्रीम कर्नेल

उच्च नेक्सस प्लेयर मार्च 25, 2016

कर्नेल ध्वनि घटक में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ध्वनि घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2544 ए-28695438

अपस्ट्रीम कर्नेल

उच्च सभी नेक्सस 19 जनवरी 2016
सीवीई-2016-2546 ए-28694392

अपस्ट्रीम कर्नेल

उच्च पिक्सेल सी 19 जनवरी 2016
सीवीई-2014-9904 ए-28592007

अपस्ट्रीम कर्नेल

उच्च नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर 4 मई 2016

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2012-6701 ए-28939037

अपस्ट्रीम कर्नेल

उच्च नेक्सस 5, नेक्सस 7 (2013) 2 मार्च 2016

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3844 ए-28299517*

एन-सीवीई-2016-3844

उच्च नेक्सस 9, पिक्सेल सी 19 अप्रैल 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3845 ए-28399876* उच्च नेक्सस 5 20 अप्रैल 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

सीरियल पेरिफेरल इंटरफ़ेस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

सीरियल पेरिफेरल इंटरफ़ेस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3846 ए-28817378* उच्च नेक्सस 5एक्स, नेक्सस 6पी 17 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3847 ए-28871433*

एन-सीवीई-2016-3847

उच्च नेक्सस 9 19 मई 2016
सीवीई-2016-3848 ए-28919417*

एन-सीवीई-2016-3848

उच्च नेक्सस 9 19 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3849 ए-28939740 उच्च पिक्सेल सी 24 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3850 ए-27917291

क्यूसी-सीआर#945164

उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6पी, नेक्सस 7 (2013) मार्च 28, 2016

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार कमजोरियों का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। हमलावरों के शोषण के लिए कर्नेल आक्रमण सतह उपलब्ध होने के कारण इस समस्या को उच्च दर्जा दिया गया है।

नोट: यह एक प्लेटफ़ॉर्म स्तरीय अपडेट है जिसे CVE-2016-3843 (A-28086229) जैसी कमजोरियों के वर्ग को कम करने के लिए डिज़ाइन किया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3843 ए-29119870* उच्च सभी नेक्सस 6.0, 6.1 गूगल आंतरिक

* इस मुद्दे का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

एलजी इलेक्ट्रॉनिक्स बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना

एलजी इलेक्ट्रॉनिक्स बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना एक हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3851 ए-29189941* उच्च नेक्सस 5X गूगल आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता

नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।

इनमें से सबसे गंभीर समस्या को इस संभावना के कारण उच्च रेटिंग दी गई है कि कोई स्थानीय दुर्भावनापूर्ण एप्लिकेशन अपने अनुमति स्तर के बाहर डेटा तक पहुंच सकता है जैसे कि स्पष्ट उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2014-9892 ए-28770164

क्यूसी-सीआर#568717

उच्च नेक्सस 5, नेक्सस 7 (2013) 2 जून 2014
सीवीई-2015-8944 ए-28814213

क्यूसी-सीआर#786116

उच्च नेक्सस 6, नेक्सस 7 (2013) 30 अप्रैल 2015
सीवीई-2014-9893 ए-28747914

क्यूसी-सीआर#542223

मध्यम नेक्सस 5 27 मार्च 2014
सीवीई-2014-9894 ए-28749708

क्यूसी-सीआर#545736

मध्यम नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9895 ए-28750150

क्यूसी-सीआर#570757

मध्यम नेक्सस 5, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9896 ए-28767593

क्यूसी-सीआर#551795

मध्यम नेक्सस 5, नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9897 ए-28769856

क्यूसी-सीआर#563752

मध्यम नेक्सस 5 30 अप्रैल 2014
सीवीई-2014-9898 ए-28814690

क्यूसी-सीआर#554575

मध्यम नेक्सस 5, नेक्सस 7 (2013) 30 अप्रैल 2014
सीवीई-2014-9899 ए-28803909

क्यूसी-सीआर#547910

मध्यम नेक्सस 5 3 जुलाई 2014
सीवीई-2014-9900 ए-28803952

क्यूसी-सीआर#570754

मध्यम नेक्सस 5, नेक्सस 7 (2013) 8 अगस्त 2014

कर्नेल अनुसूचक में सूचना प्रकटीकरण भेद्यता

कर्नेल शेड्यूलर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2014-9903 ए-28731691

अपस्ट्रीम कर्नेल

उच्च नेक्सस 5एक्स, नेक्सस 6पी 21 फरवरी 2014

मीडियाटेक वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता (डिवाइस विशिष्ट)

मीडियाटेक वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3852 ए-29141147*

एम-एएलपीएस02751738

उच्च एंड्रॉयड वन 12 अप्रैल 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

USB ड्राइवर में सूचना प्रकटीकरण भेद्यता

USB ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-4482 ए-28619695

अपस्ट्रीम कर्नेल

उच्च सभी नेक्सस 3 मई 2016

क्वालकॉम घटकों में सेवा भेद्यता का खंडन

नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से वाई-फाई ड्राइवर भी शामिल है।

इनमें से सबसे गंभीर समस्या को इस संभावना के कारण उच्च रेटिंग दी गई है कि कोई हमलावर सेवा के अस्थायी दूरस्थ इनकार का कारण बन सकता है जिसके परिणामस्वरूप डिवाइस हैंग या रिबूट हो सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2014-9901 ए-28670333

क्यूसी-सीआर#548711

उच्च नेक्सस 7 (2013) मार्च 31, 2014

Google Play सेवाओं में विशेषाधिकार भेद्यता का बढ़ना

Google Play सेवाओं में विशेषाधिकार भेद्यता बढ़ने से स्थानीय हमलावर को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति मिल सकती है। फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की संभावना के कारण इसे मॉडरेट का दर्जा दिया गया है, जिससे डिवाइस को सफलतापूर्वक रीसेट किया जा सकता है और उसके सभी डेटा को मिटाया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3853 ए-26803208* मध्यम सभी नेक्सस कोई नहीं 4 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना

फ़्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना पहले से इंस्टॉल किए गए एप्लिकेशन को अपने इरादे फ़िल्टर प्राथमिकता को बढ़ाने में सक्षम कर सकता है जब एप्लिकेशन को उपयोगकर्ता को सूचित किए बिना अपडेट किया जा रहा हो। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना उन्नत क्षमताएं हासिल करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2497 ए-27450489 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

कर्नेल नेटवर्किंग घटक में सूचना प्रकटीकरण भेद्यता

कर्नेल नेटवर्किंग घटक में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-4486 ए-28620102

अपस्ट्रीम कर्नेल

मध्यम सभी नेक्सस 3 मई 2016

कर्नेल ध्वनि घटक में सूचना प्रकटीकरण भेद्यता

कर्नेल ध्वनि घटक में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-4569 ए-28980557

अपस्ट्रीम कर्नेल

मध्यम सभी नेक्सस 9 मई 2016
सीवीई-2016-4578 ए-28980217

अपस्ट्रीम कर्नेल [ 2 ]

मध्यम सभी नेक्सस 11 मई 2016

क्वालकॉम घटकों में कमजोरियाँ

नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3854 क्यूसी-सीआर#897326 उच्च कोई नहीं फरवरी 2016
सीवीई-2016-3855 क्यूसी-सीआर#990824 उच्च कोई नहीं मई 2016
सीवीई-2016-2060 क्यूसी-सीआर#959631 मध्यम कोई नहीं अप्रैल 2016

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

2016-08-01 या बाद के सुरक्षा पैच स्तर 2016-08-01 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। 2016-08-05 या उसके बाद के सुरक्षा पैच स्तर 2016-08-05 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जाँच करने के निर्देशों के लिए सहायता केंद्र देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-08-01] या [ro.build.version.security_patch]:[2016-08-05]।

2. इस बुलेटिन में दो सुरक्षा पैच स्तर की स्ट्रिंग क्यों हैं?

एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को ठीक करने के लिए अधिक तेज़ी से आगे बढ़ने की लचीलापन प्रदान करने के लिए इस बुलेटिन में दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर स्ट्रिंग का उपयोग करने के लिए प्रोत्साहित किया जाता है।

जो डिवाइस 5 अगस्त 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

जो डिवाइस 1 अगस्त 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए। जो डिवाइस 1 अगस्त, 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें 5 अगस्त, 2016 सुरक्षा पैच स्तर से जुड़े सुधारों का एक सबसेट भी शामिल हो सकता है।

3 . मैं यह कैसे निर्धारित करूँ कि प्रत्येक समस्या से कौन-से Nexus डिवाइस प्रभावित हैं?

2016-08-01 और 2016-08-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड नेक्सस डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइसों की श्रृंखला को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित करती है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "सभी नेक्सस" होंगे। "ऑल नेक्सस" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: नेक्सस 5, नेक्सस 5X, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
  • कुछ नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित नेक्सस डिवाइस अपडेटेड नेक्सस डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई नेक्सस डिवाइस नहीं : यदि कोई नेक्सस डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "कोई नहीं" होगा।

4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या

संशोधन

  • 01 अगस्त 2016: बुलेटिन प्रकाशित.
  • 02 अगस्त 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
  • 16 अगस्त 2016: सीवीई-2016-3856 को सीवीई-2016-2060 में सुधारा गया और संदर्भ यूआरएल अपडेट किया गया।
  • 21 अक्टूबर 2016: सीवीई-2016-4486 में टाइपो को ठीक किया गया।