03 अक्टूबर 2016 को प्रकाशित | 04 अक्टूबर 2016 को अपडेट किया गया
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 05 अक्टूबर, 2016 या बाद के सुरक्षा पैच स्तर इन मुद्दों को संबोधित करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ीकरण देखें। समर्थित Nexus डिवाइसों को 05 अक्टूबर, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।
भागीदारों को 06 सितंबर, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर डिवाइस-विशिष्ट कोड में गंभीर सुरक्षा भेद्यताएं हैं जो कर्नेल के संदर्भ में रिमोट कोड निष्पादन को सक्षम कर सकती हैं, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है। . गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेवा सुरक्षा जैसे कि SafeNet पर विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाओं
- इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं जो सभी Android उपकरणों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-10-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-10-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-10-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-10-01 और 2016-10-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित Nexus डिवाइसों को 05 अक्टूबर, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।
Android और Google सेवा में कमी
यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
- जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- आंद्रे टेक्सीरा रिज़ो: सीवीई-2016-3882
- एंड्रिया बायोंडो: सीवीई-2016-3921
- कॉपरहेड सुरक्षा के डेनियल माइके: CVE-2016-3922
- Google के दिमित्री व्युकोव : CVE-2016-7117
- डॉसमडर: सीवीई-2016-3931
- ट्रेंड माइक्रो का Ecular Xu (徐健): CVE-2016-3920
- गेंगजिया चेन ( @ चेंगजिया 4574 ) और आइसस्वॉर्ड लैब के पीजेएफ, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-6690, सीवीई-2016-3901, सीवीई-2016-6672, सीवीई-2016-3940, सीवीई-2016-3935
- हैंग झांग , डोंगडोंग शी , और यूसी रिवरसाइड के ज़ियुन कियान : सीवीई-2015-8950
- अल्फा टीम के हाओ चेन, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-3860
- जेन हॉर्न ऑफ़ गूगल प्रोजेक्ट जीरो: CVE-2016-3900, CVE-2016-3885
- जेसन रोगेना : सीवीई-2016-3917
- जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के pjf, Qihoo 360: CVE-2016-6688, CVE-2016-6677, CVE-2016-6673, CVE-2016-6687, CVE-2016-6686, CVE-2016-6681 , सीवीई-2016-6682, सीवीई-2016-3930
- जोशुआ ड्रेक ( @jduck ): CVE-2016-3920
- Google सुरक्षा टीम के Maciej Szawłowski: CVE-2016-3905
- Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-6689
- माइकल बेडनार्स्की: सीवीई-2016-3914, सीवीई-2016-6674, सीवीई-2016-3911, सीवीई-2016-3912
- मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-3933, CVE-2016-3932
- नाइटवॉच साइबर सुरक्षा अनुसंधान ( @nightwatchcyber ): सीवीई-2016-5348
- रोई हे, आईबीएम सुरक्षा एक्स-फोर्स शोधकर्ता: सीवीई-2016-6678
- Google के सैमुअल टैन: CVE-2016-3925
- स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- ट्रेंड माइक्रो मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, सीवीई-2016-6694, सीवीई-2016-6695
- वेन्के डू , मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-3909
- अल्फा टीम के वेनलिन यांग और गुआंग गोंग (龚广) ( @oldfresher ) Qihoo 360 Technology Co. Ltd.: CVE-2016-3918
- ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu) : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- ईगलआई टीम, एससीसी, हुआवेई के योंग शी: सीवीई-2016-3938
- सुरक्षा अनुसंधान प्रयोगशाला, चीता मोबाइल के झानपेंग झाओ (行之) ( @ 0xr0ot ) मोबाइल: सीवीई-2016-3908
2016-10-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-10-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
ServiceManager में विशेषाधिकार भेद्यता का उन्नयन
सर्विसमैनेजर में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमानी सेवाओं को पंजीकृत करने में सक्षम कर सकता है जो आमतौर पर एक विशेषाधिकार प्राप्त प्रक्रिया द्वारा प्रदान की जाती हैं, जैसे कि system_server। सेवा प्रतिरूपण की संभावना के कारण इस मुद्दे को उच्च गंभीरता के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3900 | ए-29431260 [ 2 ] | उच्च | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 15, 2016 |
लॉक सेटिंग्स सेवा में विशेषाधिकार भेद्यता का उन्नयन
लॉक सेटिंग्स सेवा में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस पिन या पासवर्ड को साफ़ करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3908 | ए-30003944 | उच्च | सभी नेक्सस | 6.0, 6.0.1, 7.0 | जुलाई 6, 2016 |
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3909 | ए-30033990 [ 2 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 8, 2016 |
| सीवीई-2016-3910 | ए-30148546 | उच्च | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 13, 2016 |
| सीवीई-2016-3913 | ए-30204103 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 18, 2016 |
जाइगोट प्रक्रिया में विशेषाधिकार भेद्यता का उन्नयन
Zygote प्रक्रिया में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3911 | ए-30143607 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 12, 2016 |
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3912 | ए-30202481 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 17, 2016 |
टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन
टेलीफ़ोनी घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3914 | ए-30481342 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 28, 2016 |
कैमरा सेवा में विशेषाधिकार भेद्यता का उन्नयन
कैमरा सेवा में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3915 | ए-30591838 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | अगस्त 1, 2016 |
| सीवीई-2016-3916 | ए-30741779 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | अगस्त 2, 2016 |
फ़िंगरप्रिंट लॉगिन में विशेषाधिकार भेद्यता का उन्नयन
फ़िंगरप्रिंट लॉगिन के दौरान विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण डिवाइस स्वामी को डिवाइस पर एक अलग उपयोगकर्ता खाते के रूप में लॉगिन करने में सक्षम कर सकता है। लॉकस्क्रीन बायपास की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3917 | ए-30744668 | उच्च | सभी नेक्सस | 6.0.1, 7.0 | अगस्त 5, 2016 |
एओएसपी मेल में सूचना प्रकटीकरण भेद्यता
एओएसपी मेल में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3918 | ए-30745403 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | अगस्त 5, 2016 |
वाई-फाई में सेवा भेद्यता से इनकार
वाई-फाई में सेवा भेद्यता से इनकार एक स्थानीय आसन्न हमलावर को हॉटस्पॉट बनाने और डिवाइस को रिबूट करने का कारण बन सकता है। सेवा के अस्थायी दूरस्थ इनकार की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3882 | ए-29464811 | उच्च | सभी नेक्सस | 6.0, 6.0.1, 7.0 | जून 17, 2016 |
जीपीएस में सेवा भेद्यता से इनकार
GPS घटक में सेवा भेद्यता की अस्वीकृति एक दूरस्थ हमलावर को डिवाइस को हैंग या रीबूट करने के लिए सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ इनकार की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-5348 | ए-29555864 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 20, 2016 |
Mediaserver में सेवा भेद्यता से इनकार
Mediaserver में सेवा सुरक्षाछिद्र का इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए सक्षम कर सकता है जिससे डिवाइस हैंग या रीबूट हो सके। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3920 | ए-30744884 | उच्च | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | अगस्त 5, 2016 |
फ्रेमवर्क श्रोता में विशेषाधिकार भेद्यता का उन्नयन
फ्रेमवर्क श्रोता में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3921 | ए-29831647 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 25, 2016 |
टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन
टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3922 | ए-30202619 | संतुलित | सभी नेक्सस | 6.0, 6.0.1, 7.0 | जुलाई 17, 2016 |
अभिगम्यता सेवाओं में विशेषाधिकार भेद्यता का उन्नयन
एक्सेसिबिलिटी सेवाओं में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस पर अप्रत्याशित स्पर्श ईवेंट उत्पन्न करने में सक्षम कर सकता है जिससे उपयोगकर्ता की स्पष्ट सहमति के बिना अनुमति संवाद स्वीकार करने वाले एप्लिकेशन हो सकते हैं। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है जिसके लिए सामान्य रूप से उपयोगकर्ता की शुरुआत या उपयोगकर्ता अनुमति की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3923 | ए-30647115 | संतुलित | सभी नेक्सस | 7.0 | गूगल आंतरिक |
Mediaserver में सूचना प्रकटीकरण भेद्यता
Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3924 | ए-30204301 | संतुलित | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 18, 2016 |
वाई-फाई में सेवा भेद्यता से इनकार
वाई-फाई सेवा में सेवा भेद्यता की अस्वीकृति वाई-फाई कॉलिंग को रोकने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। एप्लिकेशन कार्यक्षमता के लिए सेवा से इनकार करने की संभावना के कारण इस समस्या को मॉडरेट के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-3925 | ए-30230534 | संतुलित | सभी नेक्सस | 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
2016-10-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-10-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
कर्नेल ASN.1 डिकोडर में रिमोट कोड निष्पादन भेद्यता
कर्नेल ASN.1 डिकोडर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-0758 | ए-29814470 अपस्ट्रीम कर्नेल | नाजुक | Nexus 5X, Nexus 6P | 12 मई 2016 |
कर्नेल नेटवर्किंग सबसिस्टम में रिमोट कोड निष्पादन भेद्यता
कर्नेल नेटवर्किंग सबसिस्टम में एक रिमोट कोड निष्पादन भेद्यता दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-7117 | ए-30515201 अपस्ट्रीम कर्नेल | नाजुक | सभी नेक्सस | गूगल आंतरिक |
मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3928 | ए-30019362* एम-एएलपीएस02829384 | नाजुक | कोई भी नहीं | जुलाई 6, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल साझा मेमोरी ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल साझा मेमोरी ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-5340 | ए-30652312 क्यूसी-सीआर#1008948 | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | जुलाई 26, 2016 |
क्वालकॉम घटकों में कमजोरियां
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां हैं और क्वालकॉम एएमएसएस मार्च 2016 और क्वालकॉम एएमएसएस अप्रैल 2016 सुरक्षा बुलेटिन में और विस्तार से वर्णित हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3926 | ए-28823953* | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | क्वालकॉम आंतरिक |
| सीवीई-2016-3927 | ए-28823244* | नाजुक | Nexus 5X, Nexus 6P | क्वालकॉम आंतरिक |
| सीवीई-2016-3929 | ए-28823675* | उच्च | Nexus 5X, Nexus 6P | क्वालकॉम आंतरिक |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2059 | ए-27045580 क्यूसी-सीआर#974577 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | फ़रवरी 4, 2016 |
NVIDIA MMC टेस्ट ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA MMC टेस्ट ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3930 | ए-28760138* एन-सीवीई-2016-3930 | उच्च | नेक्सस 9 | 12 मई 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम क्यूएसईई कम्युनिकेटर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम क्यूएसईई कम्युनिकेटर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3931 | ए-29157595 क्यूसी-सीआर#1036418 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One | जून 4, 2016 |
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3932 | ए-29161895 एम-एएलपीएस02770870 | उच्च | कोई भी नहीं | जून 6, 2016 |
| सीवीई-2016-3933 | ए-29421408* एन-सीवीई-2016-3933 | उच्च | नेक्सस 9, पिक्सेल सी | जून 14, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3903 | ए-29513227 क्यूसी-सीआर#1040857 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | जून 20, 2016 |
| सीवीई-2016-3934 | ए-30102557 क्यूसी-सीआर#789704 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Android One | जुलाई 12, 2016 |
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8951 | ए-30142668 क्यूसी-सीआर#948902 क्यूसी-सीआर#948902 | उच्च | नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन | जून 20, 2016 |
क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम क्रिप्टोग्राफिक इंजन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3901 | ए-29999161 क्यूसी-सीआर#1046434 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One | जुलाई 6, 2016 |
| सीवीई-2016-3935 | ए-29999665 क्यूसी-सीआर#1046507 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One | जुलाई 6, 2016 |
मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3936 | ए-30019037* एम-एएलपीएस02829568 | उच्च | कोई भी नहीं | जुलाई 6, 2016 |
| सीवीई-2016-3937 | ए-30030994* एम-एएलपीएस02834874 | उच्च | कोई भी नहीं | जुलाई 7, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3938 | ए-30019716 क्यूसी-सीआर#1049232 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One | जुलाई 7, 2016 |
| सीवीई-2016-3939 | ए-30874196 क्यूसी-सीआर#1001224 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One | अगस्त 15, 2016 |
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
Synaptics टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3940 | ए-30141991* | उच्च | नेक्सस 6पी, एंड्रॉइड वन | जुलाई 12, 2016 |
| सीवीई-2016-6672 | ए-30537088* | उच्च | नेक्सस 5X | जुलाई 31, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6673 | ए-30204201* एन-सीवीई-2016-6673 | उच्च | नेक्सस 9 | जुलाई 17, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
system_server में विशेषाधिकार भेद्यता का उन्नयन
सिस्टम_सर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6674 | ए-30445380* | उच्च | सभी नेक्सस | जुलाई 26, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3905 | ए-28061823 क्यूसी-सीआर#1001449 | उच्च | नेक्सस 5X | गूगल आंतरिक |
| सीवीई-2016-6675 | ए-30873776 क्यूसी-सीआर#1000861 | उच्च | नेक्सस 5X, एंड्रॉइड वन | अगस्त 15, 2016 |
| सीवीई-2016-6676 | ए-30874066 क्यूसी-सीआर#1000853 | उच्च | नेक्सस 5X, एंड्रॉइड वन | अगस्त 15, 2016 |
| सीवीई-2016-5342 | ए-30878283 क्यूसी-सीआर#1032174 | उच्च | एंड्रॉयड वन | अगस्त 15, 2016 |
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8955 | ए-29508816 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6P, Pixel C, Android One | गूगल आंतरिक |
कर्नेल ION सबसिस्टम में सूचना प्रकटीकरण भेद्यता
कर्नेल ION सबसिस्टम में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8950 | ए-29795245 क्यूसी-सीआर#1041735 | उच्च | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 12 मई 2016 |
NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA GPU ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6677 | ए-30259955* एन-सीवीई-2016-6677 | उच्च | नेक्सस 9 | जुलाई 19, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम कैरेक्टर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम कैरेक्टर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है, और कमजोर कोड वर्तमान में सुलभ नहीं है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-0572 | ए-29156684 क्यूसी-सीआर#848489 | संतुलित | Nexus 5X, Nexus 6P | 28 मई 2016 |
क्वालकॉम ध्वनि चालक में सूचना प्रकटीकरण भेद्यता
क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3860 | ए-29323142 क्यूसी-सीआर#1038127 | संतुलित | नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन | जून 13, 2016 |
Motorola USBNet ड्राइवर में सूचना प्रकटीकरण भेद्यता
Motorola USBNet ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6678 | ए-29914434* | संतुलित | नेक्सस 6 | जून 30, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता
ध्वनि ड्राइवर, आईपीए ड्राइवर और वाई-फाई ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6679 | ए-29915601 क्यूसी-सीआर#1000913 [ 2 ] | संतुलित | नेक्सस 5X, एंड्रॉइड वन | जून 30, 2016 |
| सीवीई-2016-3902 | ए-29953313* क्यूसी-सीआर#1044072 | संतुलित | नेक्सस 5एक्स, नेक्सस 6पी, | 2 जुलाई 2016 |
| सीवीई-2016-6680 | ए-29982678* क्यूसी-सीआर#1048052 | संतुलित | नेक्सस 5X, एंड्रॉइड वन | जुलाई 3, 2016 |
| सीवीई-2016-6681 | ए-30152182 क्यूसी-सीआर#1049521 | संतुलित | Nexus 5X, Nexus 6P, Android One | जुलाई 14, 2016 |
| सीवीई-2016-6682 | ए-30152501 क्यूसी-सीआर#1049615 | संतुलित | नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन | जुलाई 14, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता
कर्नेल घटकों में एक सूचना प्रकटीकरण भेद्यता, जिसमें बाइंडर, सिंक, ब्लूटूथ और साउंड ड्राइवर शामिल हैं, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6683 | ए-30143283* | संतुलित | सभी नेक्सस | जुलाई 13, 2016 |
| सीवीई-2016-6684 | ए-30148243* | संतुलित | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, एंड्रॉइड वन | जुलाई 13, 2016 |
| सीवीई-2015-8956 | ए-30149612* | संतुलित | नेक्सस 5, नेक्सस 6पी, एंड्रॉइड वन | जुलाई 14, 2016 |
| सीवीई-2016-6685 | ए-30402628* | संतुलित | नेक्सस 6पी | जुलाई 25, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
NVIDIA प्रोफाइलर में सूचना प्रकटीकरण भेद्यता
NVIDIA प्रोफाइलर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6686 | ए-30163101* एन-सीवीई-2016-6686 | संतुलित | नेक्सस 9 | जुलाई 15, 2016 |
| सीवीई-2016-6687 | ए-30162222* एन-सीवीई-2016-6687 | संतुलित | नेक्सस 9 | जुलाई 15, 2016 |
| सीवीई-2016-6688 | ए-30593080* एन-सीवीई-2016-6688 | संतुलित | नेक्सस 9 | अगस्त 2, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल में सूचना प्रकटीकरण भेद्यता
बाइंडर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6689 | ए-30768347* | संतुलित | सभी नेक्सस | अगस्त 9, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार एक हमलावर को टीसीपी कनेक्शन तक पहुंच को अवरुद्ध करने और सेवा के अस्थायी दूरस्थ इनकार का कारण बन सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि सेलुलर सेवाएं अभी भी उपलब्ध हैं और डिवाइस अभी भी प्रयोग करने योग्य है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Nexus डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-5696 | ए-30809774 अपस्ट्रीम कर्नेल | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | जुलाई 12, 2016 |
कर्नेल साउंड ड्राइवर में सेवा भेद्यता से इनकार
A denial of service vulnerability in the kernel could allow a local malicious application to cause a device reboot. This issue is rated as Low because it is a temporary denial of service.
| सीवीई | संदर्भ | तीव्रता | Updated Nexus devices | Date reported |
|---|---|---|---|---|
| CVE-2016-6690 | A-28838221* | Low | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus Player | May 18, 2016 |
* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .
Vulnerabilities in Qualcomm components
The table below contains a list of security vulnerabilities that affect Qualcomm components.
| सीवीई | संदर्भ | तीव्रता | Updated Nexus devices | Date reported |
|---|---|---|---|---|
| CVE-2016-6691 | QC-CR#978452 | उच्च | कोई भी नहीं | Jul 2016 |
| CVE-2016-6692 | QC-CR#1004933 | उच्च | कोई भी नहीं | Aug 2016 |
| CVE-2016-6693 | QC-CR#1027585 | उच्च | कोई भी नहीं | Aug 2016 |
| CVE-2016-6694 | QC-CR#1033525 | उच्च | कोई भी नहीं | Aug 2016 |
| CVE-2016-6695 | QC-CR#1033540 | उच्च | कोई भी नहीं | Aug 2016 |
| CVE-2016-6696 | QC-CR#1041130 | उच्च | कोई भी नहीं | Aug 2016 |
| CVE-2016-5344 | QC-CR#993650 | संतुलित | कोई भी नहीं | Aug 2016 |
| CVE-2016-5343 | QC-CR#1010081 | संतुलित | कोई भी नहीं | Aug 2016 |
Common Questions and Answers
यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
Security Patch Levels of 2016-10-01 or later address all issues associated with the 2016-10-01 security patch string level. Security Patch Levels of 2016-10-05 or later address all issues associated with the 2016-10-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-10-01] or [ro.build.version.security_patch]:[2016-10-05].
2. Why does this bulletin have two security patch level strings?
This bulletin has two security patch level strings so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.
Devices that use the security patch level of October 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.
Devices that use the October 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
3. How do I determine which Nexus devices are affected by each issue?
In the 2016-10-01 and 2016-10-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:
- All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player and Pixel C.
- Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
- No Nexus devices : If no Nexus devices running Android 7.0 are affected by the issue, the table will have “None” in the Updated Nexus devices column.
4. What do the entries in the references column map to?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। These prefixes map as follows:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| क्यूसी- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
Revisions
- October 03, 2016: Bulletin published.
- October 04, 2016: Bulletin revised to include AOSP links and update attributions for CVE-2016-3920, CVE-2016-6693, CVE-2016-6694, CVE-2016-6695, and CVE-2016-6696.