Android सुरक्षा बुलेटिन—सितंबर 2016

डेड

06 सितम्बर 2016 को प्रकाशित | 12 सितंबर 2016 को अपडेट किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 06 सितंबर 2016 या उसके बाद के सुरक्षा पैच स्तर इन मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ देखें। समर्थित नेक्सस डिवाइस को 06 सितंबर, 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 05 अगस्त 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाएं

  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक सबसेट को ठीक करने के लिए अधिक तेज़ी से आगे बढ़ने की लचीलापन प्रदान करने के लिए तीन सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2016-09-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-09-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2016-09-05 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-09-01 और 2016-09-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2016-09-06 : संपूर्ण सुरक्षा पैच स्तरीय स्ट्रिंग, जो उन समस्याओं का समाधान करती है जो भागीदारों को इस बुलेटिन में अधिकांश समस्याओं के बारे में सूचित किए जाने के बाद खोजी गई थीं। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-09-01, 2016-09-05 और 2016-09-06 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित नेक्सस डिवाइस को 06 सितंबर, 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • कार्नेगी मेलन विश्वविद्यालय के कोरी प्रूस: सीवीई-2016-3897
  • गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-3869, सीवीई-2016-3865, सीवीई-2016-3866, सीवीई-2016-3867
  • सिक्योरिटी रिसर्च लैब, चीता मोबाइल के हाओ किन: सीवीई-2016-3863
  • Google प्रोजेक्ट ज़ीरो के जेन हॉर्न: CVE-2016-3885
  • जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के पीजेएफ , क्यूहू 360: सीवीई-2016-3858
  • जोशुआ ड्रेक ( @jduck ): CVE-2016-3861
  • सीआईएसपीए, सारलैंड विश्वविद्यालय की मधु प्रिया मुरुगन: सीवीई-2016-3896
  • Google के Makoto Onuki: CVE-2016-3876
  • Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-3861
  • Android सुरक्षा का अधिकतम स्पेक्टर: CVE-2016-3888
  • Android सुरक्षा का मैक्स स्पेक्टर और क्वान टू: CVE-2016-3889
  • मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3895
  • टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे ): सीवीई-2016-2446 से संबंधित अतिरिक्त मुद्दों की खोज
  • Google के ओलेक्सी व्यालोव: CVE-2016-3890
  • Google Chrome सुरक्षा टीम के ओलिवर चांग: CVE-2016-3880
  • अलीबाबा मोबाइल सिक्योरिटी ग्रुप के पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग और यांग गीत: सीवीई-2016-3859
  • टीम Lv51 के रोनाल्ड एल लूर वर्गास ( @loor_rlv ): CVE-2016-3886
  • सागी केडमी, आईबीएम सुरक्षा एक्स-फोर्स शोधकर्ता: सीवीई-2016-3873
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
  • ट्रेंडमाइक्रो के सेवन शेन ( @lingtongshen ): CVE-2016-3894
  • सेंटिनलवन/रेडनागा के टिम स्ट्रैज़ेरे ( @timstrazz ): CVE-2016-3862
  • ट्रॉटमास्टर ( @trotmaster99 ): CVE-2016-3883
  • Google के विक्टर चांग: CVE-2016-3887
  • Google के विग्नेश वेंकटसुब्रमण्यम: CVE-2016-3881
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-3878
  • वेन्के डू , मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
  • ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-3892
  • अलीबाबा इंक के ज़िंग्यू हे (何星宇) ( @Spid3r_ ) : CVE-2016-3879
  • टीसीए लैब के याकोंग गु, सॉफ्टवेयर संस्थान, चीनी विज्ञान अकादमी: सीवीई-2016-3884
  • मिशिगन विश्वविद्यालय के युरु शाओ एन आर्बर: सीवीई-2016-3898

2016-09-01 सुरक्षा पैच स्तर—सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

LibUtils में रिमोट कोड निष्पादन भेद्यता

LibUtils में एक दूरस्थ कोड निष्पादन भेद्यता एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3861 ए-29250543 [ 2 ] [ 3 ] [ 4 ] गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 9 जून 2016

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3862 ए-29270469 गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 जून 2016

MediaMuxer में रिमोट कोड निष्पादन भेद्यता

MediaMuxer में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। MediaMuxer का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च रेटिंग दी गई है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3863 ए-29161888 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 6 जून 2016

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3870 ए-29421804 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 जून 2016
सीवीई-2016-3871 ए-29422022 [ 2 ] [ 3 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 जून 2016
सीवीई-2016-3872 ए-29421675 [ 2 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 जून 2016

डिवाइस बूट में विशेषाधिकार भेद्यता का बढ़ना

बूट अनुक्रम के दौरान विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण हमलावर को अक्षम होने के बावजूद सुरक्षित मोड में बूट करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3875 ए-26251884 उच्च कोई नहीं* 6.0, 6.0.1 गूगल आंतरिक

* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना

सेटिंग्स में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण हमलावर को अक्षम होने के बावजूद सुरक्षित मोड में बूट करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3876 ए-29900345 उच्च सभी नेक्सस 6.0, 6.0.1, 7.0 गूगल आंतरिक

मीडियासर्वर में सेवा भेद्यता का खंडन

मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3899 ए-29421811 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 जून 2016
सीवीई-2016-3878 ए-29493002 उच्च सभी नेक्सस* 6.0, 6.0.1 17 जून 2016
सीवीई-2016-3879 ए-29770686 उच्च सभी नेक्सस* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 जून 2016
सीवीई-2016-3880 ए-25747670 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 गूगल आंतरिक
सीवीई-2016-3881 ए-30013856 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 गूगल आंतरिक

* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना

टेलीफ़ोनी घटक में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन अनधिकृत प्रीमियम एसएमएस संदेश भेजने में सक्षम हो सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना उन्नत क्षमताएं हासिल करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3883 ए-28557603 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 3 मई 2016

अधिसूचना प्रबंधक सेवा में विशेषाधिकार भेद्यता का बढ़ना

अधिसूचना प्रबंधक सेवा में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है, जैसे कि कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3884 ए-29421441 मध्यम सभी नेक्सस 6.0, 6.0.1, 7.0 15 जून 2016

डिबगर्ड में विशेषाधिकार भेद्यता का बढ़ना

एकीकृत एंड्रॉइड डिबगर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एंड्रॉइड डिबगर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। विशेषाधिकार प्राप्त प्रक्रिया में स्थानीय मनमाने कोड निष्पादन की संभावना के कारण इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3885 ए-29555636 मध्यम सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 21 जून 2016

सिस्टम यूआई ट्यूनर में विशेषाधिकार भेद्यता का बढ़ना

सिस्टम यूआई ट्यूनर में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को डिवाइस लॉक होने पर संरक्षित सेटिंग्स को संशोधित करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि यह उपयोगकर्ता अनुमतियों का स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3886 ए-30107438 मध्यम सभी नेक्सस 7.0 23 जून 2016

सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना

सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को वीपीएन सेटिंग्स के लिए ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग एप्लिकेशन के अनुमति स्तर से बाहर के डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3887 ए-29899712 मध्यम सभी नेक्सस 7.0 गूगल आंतरिक

एसएमएस में विशेषाधिकार भेद्यता का बढ़ना

एसएमएस में विशेषाधिकार भेद्यता बढ़ने से स्थानीय हमलावर डिवाइस के प्रावधान से पहले प्रीमियम एसएमएस संदेश भेजने में सक्षम हो सकता है। फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की संभावना के कारण इसे मध्यम रेटिंग दी गई है, जिससे डिवाइस को सेट होने से पहले उपयोग करने से रोका जा सके।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3888 ए-29420123 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 गूगल आंतरिक

सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना

सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना स्थानीय हमलावर को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने और डिवाइस तक पहुंच प्राप्त करने में सक्षम कर सकता है। फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की संभावना के कारण इसे मॉडरेट का दर्जा दिया गया है, जिससे डिवाइस को सफलतापूर्वक रीसेट किया जा सकता है और उसके सभी डेटा को मिटाया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3889 ए-29194585 [ 2 ] मध्यम सभी नेक्सस 6.0, 6.0.1, 7.0 गूगल आंतरिक

जावा डिबग वायर प्रोटोकॉल में विशेषाधिकार भेद्यता का बढ़ना

जावा डिबग वायर प्रोटोकॉल में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसके लिए एक असामान्य डिवाइस कॉन्फ़िगरेशन की आवश्यकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3890 ए-28347842 [ 2 ] मध्यम कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3895 ए-29983260 मध्यम सभी नेक्सस 6.0, 6.0.1, 7.0 4 जुलाई 2016

AOSP मेल में सूचना प्रकटीकरण भेद्यता

AOSP मेल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के अनुचित तरीके से डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3896 ए-29767043 मध्यम कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 जुलाई 2016

* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

वाई-फाई में सूचना प्रकटीकरण भेद्यता

वाई-फाई कॉन्फ़िगरेशन में सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3897 ए-25624963 [ 2 ] मध्यम कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 नवंबर 2015

* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

टेलीफोनी में सेवा भेद्यता का खंडन

टेलीफ़ोनी घटक में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को लॉक स्क्रीन से 911 TTY कॉल को रोकने में सक्षम कर सकता है। किसी महत्वपूर्ण कार्य पर सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3898 ए-29832693 मध्यम सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 जून 2016

2016-09-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2014-9529 ए-29510361

अपस्ट्रीम कर्नेल

गंभीर नेक्सस 5, नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर, एंड्रॉइड वन 6 जनवरी 2015
सीवीई-2016-4470 ए-29823941

अपस्ट्रीम कर्नेल

गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर 15 जून 2016

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2013-7446 ए-29119002

अपस्ट्रीम कर्नेल

गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन 18 नवंबर 2015

कर्नेल नेटफ़िल्टर सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल नेटफ़िल्टर सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3134 ए-28940694

अपस्ट्रीम कर्नेल

गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन मार्च 9, 2016

कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3951 ए-28744625

अपस्ट्रीम कर्नेल [ 2 ]

गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन 6 अप्रैल 2016

कर्नेल ध्वनि उपप्रणाली में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ध्वनि सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2014-4655 ए-29916012

अपस्ट्रीम कर्नेल

उच्च नेक्सस 5, नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर 26 जून 2014

कर्नेल ASN.1 डिकोडर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ASN.1 डिकोडर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2053 ए-28751627

अपस्ट्रीम कर्नेल

उच्च नेक्सस 5एक्स, नेक्सस 6पी 25 जनवरी 2016

क्वालकॉम रेडियो इंटरफ़ेस परत में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम रेडियो इंटरफ़ेस परत में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3864 ए-28823714*
क्यूसी-सीआर#913117
उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन अप्रैल 29, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम सबसिस्टम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम सबसिस्टम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3858 ए-28675151
क्यूसी-सीआर#1022641
उच्च नेक्सस 5एक्स, नेक्सस 6पी 9 मई 2016

कर्नेल नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-4805 ए-28979703

अपस्ट्रीम कर्नेल

उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9 15 मई 2016

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3865 ए-28799389* उच्च नेक्सस 5एक्स, नेक्सस 9 16 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3859 ए-28815326*
क्यूसी-सीआर#1034641
उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 17 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3866 ए-28868303*
क्यूसी-सीआर#1032820
उच्च नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 18 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3867 ए-28919863*
क्यूसी-सीआर#1037897
उच्च नेक्सस 5एक्स, नेक्सस 6पी 21 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम पावर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम पावर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3868 ए-28967028*
क्यूसी-सीआर#1032875
उच्च नेक्सस 5एक्स, नेक्सस 6पी 25 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3869 ए-29009982*
बी-आरबी#96070
उच्च नेक्सस 5, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी 27 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल eCryptfs फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल eCryptfs फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-1583 ए-29444228
अपस्ट्रीम कर्नेल
उच्च पिक्सेल सी 1 जून 2016

NVIDIA कर्नेल में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता का दर्जा दिया गया है क्योंकि इसके लिए सबसे पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3873 ए-29518457*
एन-सीवीई-2016-3873
उच्च नेक्सस 9 20 जून 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3874 ए-29944562
क्यूसी-सीआर#997797 [ 2 ]
उच्च नेक्सस 5X 1 जुलाई 2016

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता का खंडन

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता का खंडन किसी हमलावर को डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकता है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-1465 ए-29506807

अपस्ट्रीम कर्नेल

उच्च नेक्सस 5, नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन 3 फ़रवरी 2015
सीवीई-2015-5364 ए-29507402

अपस्ट्रीम कर्नेल

उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन 30 जून 2015

कर्नेल ext4 फ़ाइल सिस्टम में सेवा भेद्यता का खंडन

कर्नेल ext4 फ़ाइल सिस्टम में सेवा से इनकार की भेद्यता एक हमलावर को स्थानीय स्थायी सेवा से इनकार करने में सक्षम कर सकती है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है। स्थानीय स्तर पर स्थायी रूप से सेवा से इनकार की संभावना के कारण इस मुद्दे को उच्च श्रेणी का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-8839 ए-28760453* उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Android One 4 अप्रैल 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम एसपीएमआई ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम एसपीएमआई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3892 ए-28760543*
क्यूसी-सीआर#1024197
मध्यम नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 13 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम ध्वनि कोडेक में सूचना प्रकटीकरण भेद्यता

क्वालकॉम साउंड कोडेक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3893 ए-29512527
क्यूसी-सीआर#856400
मध्यम नेक्सस 6पी 20 जून 2016

क्वालकॉम डीएमए घटक में सूचना प्रकटीकरण भेद्यता

क्वालकॉम डीएमए घटक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3894 ए-29618014*
क्यूसी-सीआर#1042033
मध्यम नेक्सस 6 23 जून 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता

कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-4998 ए-29637687
अपस्ट्रीम कर्नेल [ 2 ]
मध्यम नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन 24 जून 2016

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता का खंडन

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता की अस्वीकृति एक हमलावर को वाई-फाई क्षमताओं तक पहुंच को अवरुद्ध करने में सक्षम कर सकती है। वाई-फाई क्षमताओं की सेवा की अस्थायी दूरस्थ अस्वीकृति की संभावना के कारण इस समस्या को मध्यम के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-2922 ए-29409847

अपस्ट्रीम कर्नेल

मध्यम नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन 4 अप्रैल 2015

क्वालकॉम घटकों में कमजोरियाँ

नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2469 क्यूसी-सीआर#997025 उच्च कोई नहीं जून 2016
सीवीई-2016-2469 क्यूसी-सीआर#997015 मध्यम कोई नहीं जून 2016

2016-09-06 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-09-06 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

कर्नेल साझा मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल साझा मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-5340 ए-30652312
क्यूसी-सीआर#1008948
गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन 26 जुलाई 2016

क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2059 ए-27045580
क्यूसी-सीआर#974577
उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन फ़रवरी 4, 2016

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

2016-09-01 या उसके बाद के सुरक्षा पैच स्तर 2016-09-01 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। 2016-09-05 या बाद के सुरक्षा पैच स्तर 2016-09-05 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। 2016-09-06 या बाद के सुरक्षा पैच स्तर 2016-09-06 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जाँच करने के निर्देशों के लिए सहायता केंद्र देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], या [ro.build.version.security_patch]:[2016-09-06]।

2. इस बुलेटिन में तीन सुरक्षा पैच स्तर की स्ट्रिंग क्यों हैं?

इस बुलेटिन में तीन सुरक्षा पैच स्तर के तार हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर स्ट्रिंग का उपयोग करने के लिए प्रोत्साहित किया जाता है।

6 सितंबर, 2016 को सुरक्षा पैच स्तर या नए का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए। यह पैच स्तर उन मुद्दों को संबोधित करने के लिए बनाया गया था जो भागीदारों के बाद खोजे गए थे, पहली बार इस बुलेटिन में अधिकांश मुद्दों के बारे में सूचित किया गया था।

5 सितंबर, 2016 को सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दे शामिल होने चाहिए, 1 सितंबर, 2016 सुरक्षा पैच स्तर और पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के लिए सुधार। 5 सितंबर, 2016 को सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में 6 सितंबर, 2016 के सुरक्षा पैच स्तर से जुड़े फिक्स का एक सबसेट भी शामिल हो सकता है।

1 सितंबर, 2016 को सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ -साथ पिछले सुरक्षा बुलेटिन में बताए गए सभी मुद्दों के लिए सुधार शामिल होना चाहिए। 1 सितंबर, 2016 को सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में 5 सितंबर, 2016 और 6 सितंबर, 2016 के सुरक्षा पैच स्तर से जुड़े फिक्स का एक सबसेट भी शामिल हो सकता है।

3 . मैं यह कैसे निर्धारित करूं कि प्रत्येक मुद्दे से कौन से नेक्सस डिवाइस प्रभावित होते हैं?

2016-09-01 , 2016-09-05 , और 2016-09-06 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अद्यतन नेक्सस डिवाइसेस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित नेक्सस उपकरणों की सीमा को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस उपकरणों को प्रभावित करती है, तो तालिका में अद्यतन किए गए नेक्सस डिवाइसेस कॉलम में "सभी नेक्सस" होंगे। "ऑल नेक्सस" निम्नलिखित समर्थित उपकरणों को एनकैप्सुलेट करता है: नेक्सस 5, नेक्सस 5x, नेक्सस 6, नेक्सस 6 पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
  • कुछ नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस उपकरणों को प्रभावित नहीं करती है, तो प्रभावित नेक्सस डिवाइस अपडेट किए गए नेक्सस डिवाइसेस कॉलम में सूचीबद्ध हैं।
  • कोई नेक्सस डिवाइस नहीं : यदि एंड्रॉइड 7.0 चलाने वाले कोई भी नेक्सस डिवाइस समस्या से प्रभावित नहीं होते हैं, तो अपडेट किए गए नेक्सस डिवाइसेस कॉलम में तालिका में "कोई नहीं" होगा।

4. संदर्भ कॉलम मैप में प्रविष्टियाँ क्या करती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्गों के नक्शे निम्नानुसार हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

संशोधन

  • 06 सितंबर, 2016: बुलेटिन प्रकाशित।
  • 07 सितंबर, 2016: बुलेटिन ने AOSP लिंक को शामिल करने के लिए संशोधित किया।
  • 12 सितंबर, 2016: बुलेटिन ने CVE-2016-3861 के लिए अद्यतन अद्यतन करने के लिए संशोधित किया और CVE-2016-3877 को हटा दिया।