06 सितंबर 2016 को प्रकाशित | 12 सितंबर 2016 को अपडेट किया गया
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 06 सितंबर, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ीकरण देखें। समर्थित Nexus डिवाइसों को 06 सितंबर, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।
भागीदारों को 05 अगस्त, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाओं
- इस बुलेटिन में तीन सुरक्षा पैच स्तर के तार हैं जो Android भागीदारों को सभी Android उपकरणों में समान कमजोरियों के एक सबसेट को ठीक करने के लिए अधिक तेज़ी से आगे बढ़ने के लिए लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-09-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-09-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-09-05 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-09-01 और 2016-09-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-09-06 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग, जो इस बुलेटिन में अधिकांश मुद्दों के बारे में भागीदारों को सूचित किए जाने के बाद खोजे गए मुद्दों को संबोधित करती है। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-09-01, 2016-09-05, और 2016-09-06 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित Nexus डिवाइसों को 06 सितंबर, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।
Android और Google सेवा में कमी
यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
- जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- कार्नेगी मेलॉन विश्वविद्यालय के कोरी प्रूस: सीवीई-2016-3897
- गेंगजिया चेन ( @ चेंगजिया 4574 ) और आइसस्वॉर्ड लैब के पीजेएफ, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-3869, सीवीई-2016-3865, सीवीई-2016-3866, सीवीई-2016-3867
- सुरक्षा अनुसंधान प्रयोगशाला, चीता मोबाइल के हाओ किन: सीवीई-2016-3863
- Google प्रोजेक्ट ज़ीरो का जेन हॉर्न: CVE-2016-3885
- जियानकियांग झाओ ( @jianqiangzhao ) और IceSword लैब के pjf, Qihoo 360: CVE-2016-3858
- जोशुआ ड्रेक ( @jduck ): CVE-2016-3861
- सीआईएसपीए, सारलैंड विश्वविद्यालय की मधु प्रिया मुरुगन: सीवीई-2016-3896
- गूगल के मकोटो ओनुकी: सीवीई-2016-3876
- Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-3861
- Android सुरक्षा का मैक्स स्पेक्टर: CVE-2016-3888
- Android सुरक्षा के मैक्स स्पेक्टर और क्वान टू: CVE-2016-3889
- मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-3895
- टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैंडल ( @natecray ): CVE-2016-2446 से संबंधित अतिरिक्त मुद्दों की खोज
- Google के ओलेक्सी व्यालोव: CVE-2016-3890
- Google Chrome सुरक्षा टीम के ओलिवर चांग: CVE-2016-3880
- अलीबाबा मोबाइल सुरक्षा समूह के पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग और यांग गीत: सीवीई-2016-3859
- टीम Lv51: CVE-2016-3886 के रोनाल्ड एल. लूर वर्गास ( @loor_rlv )
- सागी केदमी, आईबीएम सुरक्षा एक्स-फोर्स शोधकर्ता: सीवीई-2016-3873
- स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
- TrendMicro के सेवन शेन ( @lingtongshen ): CVE-2016-3894
- सेंटिनलऑन / रेडनागा के टिम स्ट्रैज़ेरे ( @timstrazz ): CVE-2016-3862
- ट्रोटमास्टर ( @ trotmaster99 ): CVE-2016-3883
- Google के विक्टर चांग: CVE-2016-3887
- Google के विग्नेश वेंकटसुब्रमण्यम: CVE-2016-3881
- अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-3878
- वेन्के डू , मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
- ट्रेंड माइक्रो इंक के विश वू (吴潍浠) ( @wish_wu ) .: CVE-2016-3892
- अलीबाबा इंक के जिंग्यु हे (何星宇) ( @Spid3r_ ): CVE-2016-3879
- टीसीए लैब के याकोंग गु, सॉफ्टवेयर संस्थान, चीनी विज्ञान अकादमी: सीवीई-2016-3884
- मिशिगन विश्वविद्यालय के युरू शाओ एन आर्बर: CVE-2016-3898
2016-09-01 सुरक्षा पैच स्तर—सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
LibUtils में रिमोट कोड निष्पादन भेद्यता
LibUtils में एक रिमोट कोड निष्पादन भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक हमलावर को सक्षम कर सकती है। इस पुस्तकालय का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3861 | ए-29250543 [ 2 ] [ 3 ] [ 4 ] | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 9, 2016 |
Mediaserver में रिमोट कोड निष्पादन भेद्यता
Mediaserver में रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3862 | ए-29270469 | नाजुक | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जून 10, 2016 |
MediaMuxer में रिमोट कोड निष्पादन भेद्यता
MediaMuxer में एक रिमोट कोड निष्पादन भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक हमलावर को सक्षम कर सकती है जो एक अप्रतिबंधित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित कर सकता है। MediaMuxer का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3863 | ए-29161888 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 6, 2016 |
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3870 | ए-29421804 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 15, 2016 |
| सीवीई-2016-3871 | ए-29422022 [ 2 ] [ 3 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 15, 2016 |
| सीवीई-2016-3872 | ए-29421675 [ 2 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 15, 2016 |
डिवाइस बूट में विशेषाधिकार भेद्यता का उन्नयन
बूट अनुक्रम के दौरान विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण हमलावर को सुरक्षित मोड में बूट करने में सक्षम कर सकता है, भले ही वह अक्षम हो। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3875 | ए-26251884 | उच्च | कोई भी नहीं* | 6.0, 6.0.1 | गूगल आंतरिक |
* Android 7.0 पर समर्थित Nexus डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
सेटिंग्स में विशेषाधिकार भेद्यता का उन्नयन
सेटिंग्स में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण हमलावर को सुरक्षित मोड में बूट करने में सक्षम कर सकता है, भले ही वह अक्षम हो। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3876 | ए-29900345 | उच्च | सभी नेक्सस | 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
Mediaserver में सेवा भेद्यता से इनकार
Mediaserver में सेवा सुरक्षाछिद्र का इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए सक्षम कर सकता है जिससे डिवाइस हैंग या रीबूट हो सके। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3899 | ए-29421811 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 16, 2016 |
| सीवीई-2016-3878 | ए-29493002 | उच्च | सभी नेक्सस* | 6.0, 6.0.1 | जून 17, 2016 |
| सीवीई-2016-3879 | ए-29770686 | उच्च | सभी नेक्सस* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जून 25, 2016 |
| सीवीई-2016-3880 | ए-25747670 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
| सीवीई-2016-3881 | ए-30013856 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
* Android 7.0 पर समर्थित Nexus डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन
टेलीफ़ोनी घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अनधिकृत प्रीमियम एसएमएस संदेश भेजने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3883 | ए-28557603 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 3 मई 2016 |
अधिसूचना प्रबंधक सेवा में विशेषाधिकार भेद्यता का उन्नयन
अधिसूचना प्रबंधक सेवा में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है, जैसे कार्यक्षमता तक पहुंच जिसके लिए सामान्य रूप से उपयोगकर्ता की शुरुआत या उपयोगकर्ता अनुमति की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3884 | ए-29421441 | संतुलित | सभी नेक्सस | 6.0, 6.0.1, 7.0 | जून 15, 2016 |
डीबगर में विशेषाधिकार भेद्यता का उन्नयन
एकीकृत एंड्रॉइड डीबगर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एंड्रॉइड डीबगर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। एक विशेषाधिकार प्राप्त प्रक्रिया में स्थानीय मनमानी कोड निष्पादन की संभावना के कारण इस मुद्दे को मध्यम गंभीरता के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3885 | ए-29555636 | संतुलित | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 21, 2016 |
सिस्टम UI ट्यूनर में विशेषाधिकार भेद्यता का उन्नयन
सिस्टम यूआई ट्यूनर में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को डिवाइस लॉक होने पर संरक्षित सेटिंग्स को संशोधित करने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता अनुमतियों का एक स्थानीय बायपास है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3886 | ए-30107438 | संतुलित | सभी नेक्सस | 7.0 | जून 23, 2016 |
सेटिंग्स में विशेषाधिकार भेद्यता का उन्नयन
सेटिंग्स में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को वीपीएन सेटिंग्स के लिए ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जो एप्लिकेशन के अनुमति स्तरों से बाहर है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3887 | ए-29899712 | संतुलित | सभी नेक्सस | 7.0 | गूगल आंतरिक |
एसएमएस में विशेषाधिकार भेद्यता का उन्नयन
एसएमएस में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय हमलावर को डिवाइस के प्रावधान से पहले प्रीमियम एसएमएस संदेश भेजने में सक्षम कर सकता है। फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की संभावना के कारण इसे मॉडरेट के रूप में रेट किया गया है, जिससे डिवाइस को सेट होने से पहले इस्तेमाल होने से रोकना चाहिए।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3888 | ए-29420123 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
सेटिंग्स में विशेषाधिकार भेद्यता का उन्नयन
सेटिंग्स में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय हमलावर को फ़ैक्टरी रीसेट सुरक्षा को बायपास करने और डिवाइस तक पहुंच प्राप्त करने में सक्षम कर सकता है। फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की संभावना के कारण इसे मॉडरेट के रूप में रेट किया गया है, जिससे डिवाइस को सफलतापूर्वक रीसेट किया जा सकता है और इसके सभी डेटा को मिटा दिया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3889 | ए-29194585 [ 2 ] | संतुलित | सभी नेक्सस | 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
जावा डिबग वायर प्रोटोकॉल में विशेषाधिकार भेद्यता का उन्नयन
जावा डिबग वायर प्रोटोकॉल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए एक असामान्य डिवाइस कॉन्फ़िगरेशन की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3890 | ए-28347842 [ 2 ] | संतुलित | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
* Android 7.0 पर समर्थित Nexus डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
Mediaserver में सूचना प्रकटीकरण भेद्यता
Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3895 | ए-29983260 | संतुलित | सभी नेक्सस | 6.0, 6.0.1, 7.0 | जुलाई 4, 2016 |
एओएसपी मेल में सूचना प्रकटीकरण भेद्यता
एओएसपी मेल में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा को अनुचित तरीके से एक्सेस करने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3896 | ए-29767043 | संतुलित | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 जुलाई 2016 |
* Android 7.0 पर समर्थित Nexus डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
वाई-फाई में सूचना प्रकटीकरण भेद्यता
वाई-फाई कॉन्फ़िगरेशन में एक सूचना प्रकटीकरण भेद्यता एक एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा एक्सेस करने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3897 | ए-25624963 [ 2 ] | संतुलित | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | नवम्बर 5, 2015 |
* Android 7.0 पर समर्थित Nexus डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
टेलीफोनी में सेवा भेद्यता से इनकार
टेलीफ़ोनी घटक में सेवा भेद्यता की अस्वीकृति एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को लॉक स्क्रीन से 911 TTY कॉल को रोकने के लिए सक्षम कर सकती है। एक महत्वपूर्ण कार्य पर सेवा से वंचित होने की संभावना के कारण इस मुद्दे को मॉडरेट के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3898 | ए-29832693 | संतुलित | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 28, 2016 |
2016-09-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2014-9529 | ए-29510361 | नाजुक | नेक्सस 5, नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर, एंड्रॉइड वन | जनवरी 6, 2015 |
| सीवीई-2016-4470 | ए-29823941 | नाजुक | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर | 15 जून 2016 |
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2013-7446 | ए-29119002 | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | नवम्बर 18, 2015 |
कर्नेल नेटफिल्टर सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल नेटफिल्टर सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3134 | ए-28940694 | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | मार्च 9, 2016 |
कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3951 | ए-28744625 अपस्ट्रीम कर्नेल [ 2 ] | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | अप्रैल 6, 2016 |
कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2014-4655 | ए-29916012 | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर | जून 26, 2014 |
कर्नेल ASN.1 डिकोडर में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल ASN.1 डिकोडर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2053 | ए-28751627 | उच्च | Nexus 5X, Nexus 6P | जनवरी 25, 2016 |
क्वालकॉम रेडियो इंटरफ़ेस परत में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम रेडियो इंटरफ़ेस परत में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3864 | ए-28823714* क्यूसी-सीआर#913117 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | अप्रैल 29, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम सबसिस्टम ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम सबसिस्टम ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3858 | ए-28675151 क्यूसी-सीआर#1022641 | उच्च | Nexus 5X, Nexus 6P | 9 मई 2016 |
कर्नेल नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-4805 | ए-28979703 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9 | 15 मई 2016 |
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
Synaptics टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3865 | ए-28799389* | उच्च | नेक्सस 5X, नेक्सस 9 | 16 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3859 | ए-28815326* क्यूसी-सीआर#1034641 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 17 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3866 | ए-28868303* क्यूसी-सीआर#1032820 | उच्च | Nexus 5X, Nexus 6, Nexus 6P | 18 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3867 | ए-28919863* क्यूसी-सीआर#1037897 | उच्च | Nexus 5X, Nexus 6P | 21 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम पावर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम पावर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3868 | ए-28967028* क्यूसी-सीआर#1032875 | उच्च | Nexus 5X, Nexus 6P | 25 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3869 | ए-29009982* बी-आरबी#96070 | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी | 27 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल eCryptfs फाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल eCryptfs फाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-1583 | ए-29444228 अपस्ट्रीम कर्नेल | उच्च | पिक्सेल सी | जून 1, 2016 |
NVIDIA कर्नेल में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3873 | ए-29518457* एन-सीवीई-2016-3873 | उच्च | नेक्सस 9 | जून 20, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3874 | ए-29944562 क्यूसी-सीआर#997797 [ 2 ] | उच्च | नेक्सस 5X | 1 जुलाई 2016 |
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार एक हमलावर को डिवाइस को हैंग या रिबूट करने के लिए सक्षम कर सकता है। सेवा के अस्थायी दूरस्थ इनकार की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-1465 | ए-29506807 | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन | फ़रवरी 3, 2015 |
| सीवीई-2015-5364 | ए-29507402 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | जून 30, 2015 |
कर्नेल ext4 फ़ाइल सिस्टम में सेवा भेद्यता से इनकार
कर्नेल ext4 फ़ाइल सिस्टम में सेवा भेद्यता से इनकार एक हमलावर को स्थानीय स्थायी सेवा से वंचित करने के लिए सक्षम कर सकता है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है। स्थानीय रूप से सेवा से इनकार करने की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8839 | ए-28760453* | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | अप्रैल 4, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम एसपीएमआई ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम एसपीएमआई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3892 | ए-28760543* क्यूसी-सीआर#1024197 | संतुलित | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 13 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम ध्वनि कोडेक में सूचना प्रकटीकरण भेद्यता
क्वालकॉम ध्वनि कोडेक में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3893 | ए-29512527 क्यूसी-सीआर#856400 | संतुलित | नेक्सस 6पी | जून 20, 2016 |
क्वालकॉम डीएमए घटक में सूचना प्रकटीकरण भेद्यता
क्वालकॉम डीएमए घटक में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3894 | ए-29618014* क्यूसी-सीआर#1042033 | संतुलित | नेक्सस 6 | जून 23, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता
कर्नेल नेटवर्किंग सबसिस्टम में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-4998 | ए-29637687 अपस्ट्रीम कर्नेल [ 2 ] | संतुलित | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | जून 24, 2016 |
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार एक हमलावर को वाई-फाई क्षमताओं तक पहुंच को अवरुद्ध करने में सक्षम कर सकता है। वाई-फाई क्षमताओं की सेवा के अस्थायी दूरस्थ इनकार की संभावना के कारण इस समस्या को मॉडरेट के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-2922 | ए-29409847 | संतुलित | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | अप्रैल 4, 2015 |
क्वालकॉम घटकों में कमजोरियां
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2469 | क्यूसी-सीआर#997025 | उच्च | कोई भी नहीं | जून 2016 |
| सीवीई-2016-2469 | क्यूसी-सीआर#997015 | संतुलित | कोई भी नहीं | जून 2016 |
2016-09-06 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-09-06 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
कर्नेल साझा मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल साझा मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-5340 | ए-30652312 क्यूसी-सीआर#1008948 | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | जुलाई 26, 2016 |
क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2059 | ए-27045580 क्यूसी-सीआर#974577 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | फ़रवरी 4, 2016 |
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
2016-09-01 या बाद के सुरक्षा पैच स्तर 2016-09-01 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं। 2016-09-05 या बाद के सुरक्षा पैच स्तर 2016-09-05 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं। 2016-09-06 या बाद के सुरक्षा पैच स्तर 2016-09-06 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं। सुरक्षा पैच स्तर की जांच कैसे करें, इस पर निर्देशों के लिए सहायता केंद्र देखें। इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], या [ro.build.version.security_patch]:[2016-09-06]।
2. इस बुलेटिन में तीन सुरक्षा पैच स्तर के तार क्यों हैं?
इस बुलेटिन में तीन सुरक्षा पैच स्तर के तार हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर स्ट्रिंग का उपयोग करने के लिए प्रोत्साहित किया जाता है।
6 सितंबर, 2016 सुरक्षा पैच स्तर या नए का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए। यह पैच स्तर उन मुद्दों को संबोधित करने के लिए बनाया गया था जो इस बुलेटिन में अधिकांश मुद्दों के बारे में भागीदारों को पहली बार सूचित किए जाने के बाद खोजे गए थे।
5 सितंबर, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर, 1 सितंबर, 2016 सुरक्षा पैच स्तर और पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान से संबंधित सभी समस्याएं शामिल होनी चाहिए। 5 सितंबर, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले डिवाइस में 6 सितंबर, 2016 सुरक्षा पैच स्तर से संबद्ध सुधारों का एक सबसेट भी शामिल हो सकता है।
1 सितंबर, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए। 1 सितंबर, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में 5 सितंबर, 2016 और 6 सितंबर, 2016 सुरक्षा पैच स्तरों से जुड़े सुधारों का एक सबसेट भी शामिल हो सकता है।
3 . मैं यह कैसे निर्धारित करूं कि प्रत्येक मुद्दे से कौन से नेक्सस डिवाइस प्रभावित हैं?
In the 2016-09-01 , 2016-09-05 , and 2016-09-06 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:
- All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
- Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
- No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.
4. What do the entries in the references column map to?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। These prefixes map as follows:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| क्यूसी- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
संशोधन
- September 06, 2016: Bulletin published.
- September 07, 2016: Bulletin revised to include AOSP links.
- September 12, 2016: Bulletin revised to update attribution for CVE-2016-3861 and remove CVE-2016-3877.