Android सुरक्षा बुलेटिन—नवंबर 2016

संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

07 नवंबर 2016 को प्रकाशित | 21 दिसंबर 2016 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने ओवर-द-एयर (OTA) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। Google डिवाइस फ़र्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 06 नवंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

भागीदारों को 20 अक्टूबर, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेवा सुरक्षा जैसे कि SafeNet पर विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाओं

  • Pixel और Pixel XL उपकरणों की शुरुआत के साथ, Google द्वारा समर्थित सभी उपकरणों के लिए शब्द "Nexus डिवाइस" के बजाय "Google डिवाइस" है।
  • इस बुलेटिन में तीन सुरक्षा पैच स्तर हैं, जो सभी Android उपकरणों में समान कमजोरियों के एक सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2016-11-01 : आंशिक सुरक्षा पैच स्तर। यह सुरक्षा पैच स्तर इंगित करता है कि 2016-11-01 (और सभी पिछले सुरक्षा पैच स्तर) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2016-11-05 : पूर्ण सुरक्षा पैच स्तर। यह सुरक्षा पैच स्तर इंगित करता है कि 2016-11-01 और 2016-11-05 (और सभी पिछले सुरक्षा पैच स्तर) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • पूरक सुरक्षा पैच स्तर

      उन उपकरणों की पहचान करने के लिए पूरक सुरक्षा पैच स्तर प्रदान किए जाते हैं जिनमें उन समस्याओं के समाधान होते हैं जिन्हें पैच स्तर परिभाषित किए जाने के बाद सार्वजनिक रूप से प्रकट किया गया था। 2016-12-01 सुरक्षा पैच स्तर तक इन हाल ही में प्रकट की गई कमजोरियों को संबोधित करने की आवश्यकता नहीं है।

      • 2016-11-06 : यह सुरक्षा पैच स्तर इंगित करता है कि डिवाइस ने 2016-11-05 और सीवीई-2016-5195 से जुड़े सभी मुद्दों को संबोधित किया है, जिसका खुलासा 19 अक्टूबर, 2016 को सार्वजनिक रूप से किया गया था।
  • समर्थित Google उपकरणों को 05 नवंबर, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।

Android और Google सेवा में कमी

यह Android सुरक्षा प्लेटफ़ॉर्म और सेवा सुरक्षा, जैसे कि SafetyNet द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
  • जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-6722
  • Google के आंद्रेई कपिशनिकोव और मिरियम गेर्शेनसन: CVE-2016-6703
  • एओ वांग ( @ArayzSegment ) और PKAV के ज़िनुओ हान , साइलेंस इंफॉर्मेशन टेक्नोलॉजी: CVE-2016-6700, CVE-2016-6702
  • सुरक्षा प्लेटफ़ॉर्म विभाग, Tencent का आकाशशांग: CVE-2016-6713
  • Android सुरक्षा का बिली लाउ: CVE-2016-6737
  • पीरियस विश्वविद्यालय के कॉन्स्टेंटिनोस पाटसाकिस और एफथिमियोस एलेपिस : सीवीई-2016-6715
  • अलीबाबा मोबाइल सुरक्षा टीम का Dragonltx: CVE-2016-6714
  • प्रोजेक्ट जीरो की गैल बेनियामिनी: सीवीई-2016-6707, सीवीई-2016-6717
  • गेंगजिया चेन ( @ चेंगजिया 4574 ) और आइसस्वॉर्ड लैब के पीजेएफ, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड : सीवीई-2016-6725, सीवीई-2016-6738, सीवीई-2016-6740, सीवीई-2016-6741, सीवीई-2016-6742, सीवीई-2016-6744, सीवीई-2016-6745, सीवीई-2016-3906
  • अल्फा टीम, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के गुआंग गोंग (龚广) ( @oldfresher ) .: CVE-2016-6754
  • जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के पीजेएफ, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड : सीवीई-2016-6739, सीवीई-2016-3904, सीवीई-2016-3907, सीवीई-2016-6698
  • Tencent की कीन लैब के मार्को ग्रासी ( @marcograss ) ( @keen_lab ): CVE-2016-6828
  • प्रोजेक्ट जीरो का मार्क ब्रांड: CVE-2016-6706
  • Google के मार्क रेनॉफ़: CVE-2016-6724
  • माइकल बेडनार्स्की ( github.com/michalbednarski ): CVE-2016-6710
  • Android सुरक्षा का मिन चोंग: CVE-2016-6743
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-6721
  • किडन हे (何淇丹) ( @flanker_hqd ) और कीनलैब के गेंगमिंग लियू (刘耕铭) ( @dmxcsnsbh ), Tencent: CVE-2016-6705
  • Google के रॉबिन ली: CVE-2016-6708
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-6751
  • कैसपर्सकी लैब के सर्गेई बोब्रोव ( @Black2Fan ): CVE-2016-6716
  • ट्रेंड माइक्रो मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
  • विक्टर वैन डेर वेन, हर्बर्ट बोस, केवे रज़ावी, और वर्जे यूनिवर्सिटिट एम्स्टर्डम के क्रिस्टियानो गिफ्रिडा और कैलिफोर्निया विश्वविद्यालय, सांता बारबरा के यानिक फ्रैटेंटोनियो, मार्टिना लिंडोर्फर और जियोवानी विग्ना: सीवीई-2016-6728
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
  • Wenke Dou ( vancouverdou@gmail.com ), Chiachih Wu ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6720
  • ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-6704
  • नाइटवॉच साइबर सुरक्षा के याकोव शफ्रानोविच: CVE-2016-6723
  • युआन-त्सुंग लो , याओ जून , टोंग लिन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
  • युआन-त्सुंग लो , याओ जून , ज़ियाओडोंग वांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746

इस बुलेटिन में कई मुद्दों पर उनके योगदान के लिए Android सुरक्षा के Zach Riggle को अतिरिक्त धन्यवाद।

2016-11-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-11-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

Mediaserver में रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6699 ए-31373622 नाजुक सभी 7.0 जुलाई 27, 2016

libzipfile में विशेषाधिकार भेद्यता का उन्नयन

libzipfile में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6700 ए-30916186 नाजुक कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1 अगस्त 17, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

स्की में रिमोट कोड निष्पादन भेद्यता

libskia में एक रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। गैलरी प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6701 ए-30190637 उच्च सभी 7.0 गूगल आंतरिक

libjpeg में रिमोट कोड निष्पादन भेद्यता

libjpeg में एक रिमोट कोड निष्पादन भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक हमलावर को सक्षम कर सकती है ताकि एक अप्रतिबंधित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित किया जा सके। libjpeg का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6702 ए-30259087 उच्च कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1 जुलाई 19, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

एंड्रॉइड रनटाइम में रिमोट कोड निष्पादन भेद्यता

एंड्रॉइड रनटाइम लाइब्रेरी में रिमोट कोड निष्पादन भेद्यता एक विशेष रूप से तैयार किए गए पेलोड का उपयोग कर एक हमलावर को एक अप्रतिबंधित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। एंड्रॉइड रनटाइम का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6703 ए-30765246 उच्च कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6704 ए-30229821 [ 2 ] [ 3 ] उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 जुलाई 19, 2016
सीवीई-2016-6705 ए-30907212 [ 2 ] उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 अगस्त 16, 2016
सीवीई-2016-6706 ए-31385713 उच्च सभी 7.0 सितम्बर 8, 2016

सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन

सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6707 ए-31350622 उच्च सभी 6.0, 6.0.1, 7.0 सितम्बर 7, 2016

सिस्टम UI में विशेषाधिकार भेद्यता का उन्नयन

सिस्टम UI में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को मल्टी-विंडो मोड में कार्य प्रोफ़ाइल के सुरक्षा संकेत को बायपास करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6708 ए-30693465 उच्च सभी 7.0 गूगल आंतरिक

Concrypt में सूचना प्रकटीकरण भेद्यता

यदि किसी एप्लिकेशन द्वारा लीगेसी एन्क्रिप्शन एपीआई का उपयोग किया जाता है, तो कॉन्सक्रिप्ट में एक सूचना प्रकटीकरण भेद्यता एक हमलावर को संवेदनशील जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6709 ए-31081987 उच्च सभी 6.0, 6.0.1, 7.0 9 अक्टूबर 2015

डाउनलोड प्रबंधक में सूचना प्रकटीकरण भेद्यता

डाउनलोड प्रबंधक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जिस पर एप्लिकेशन की पहुंच नहीं है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6710 ए-30537115 [ 2 ] उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 जुलाई 30, 2016

ब्लूटूथ में सेवा भेद्यता से इनकार

ब्लूटूथ में सेवा की सुरक्षा से इनकार एक निकटवर्ती हमलावर को प्रभावित डिवाइस पर ब्लूटूथ एक्सेस को ब्लॉक करने में सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2014-9908 ए-28672558 उच्च कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1 5 मई 2014

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

OpenJDK में सेवा भेद्यता से इनकार

OpenJDK में सेवा भेद्यता का एक दूरस्थ इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए डिवाइस को हैंग या रिबूट करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2015-0410 ए-30703445 उच्च सभी 7.0 जनवरी 16, 2015

Mediaserver में सेवा भेद्यता से इनकार

Mediaserver में सेवा सुरक्षाछिद्र का एक दूरस्थ इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए एक डिवाइस हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6711 ए-30593765 उच्च कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अगस्त 1, 2016
सीवीई-2016-6712 ए-30593752 उच्च कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अगस्त 1, 2016
सीवीई-2016-6713 ए-30822755 उच्च सभी 6.0, 6.0.1, 7.0 अगस्त 11, 2016
सीवीई-2016-6714 ए-31092462 उच्च सभी 6.0, 6.0.1, 7.0 अगस्त 22, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की अनुमति के बिना ऑडियो रिकॉर्ड करने की अनुमति दे सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता की शुरुआत या उपयोगकर्ता अनुमति की आवश्यकता होती है)।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6715 ए-29833954 संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 जून 28, 2016

एओएसपी लॉन्चर में विशेषाधिकार भेद्यता का उन्नयन

एओएसपी लॉन्चर में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसे शॉर्टकट बनाने की अनुमति दे सकता है जिनके पास उपयोगकर्ता की सहमति के बिना उन्नत विशेषाधिकार हैं। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता की शुरुआत या उपयोगकर्ता अनुमति की आवश्यकता होती है)।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6716 ए-30778130 संतुलित सभी 7.0 अगस्त 5, 2016

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक अलग भेद्यता के शोषण की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6717 ए-31350239 संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 7, 2016

खाता प्रबंधक सेवा में विशेषाधिकार भेद्यता का उन्नयन

खाता प्रबंधक सेवा में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता सहभागिता के बिना संवेदनशील जानकारी प्राप्त करने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता की शुरुआत या उपयोगकर्ता की अनुमति की आवश्यकता होती है।)

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6718 ए-30455516 संतुलित सभी 7.0 गूगल आंतरिक

ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन

ब्लूटूथ घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की सहमति के बिना किसी भी ब्लूटूथ डिवाइस के साथ युग्मित करने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता की शुरुआत या उपयोगकर्ता अनुमति की आवश्यकता होती है)।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6719 ए-29043989 [ 2 ] संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 गूगल आंतरिक

Mediaserver में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6720 ए-29422020 [ 2 ] [ 3 ] [ 4 ] संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 जून 15, 2016
सीवीई-2016-6721 ए-30875060 संतुलित सभी 6.0, 6.0.1, 7.0 अगस्त 13, 2016
सीवीई-2016-6722 ए-31091777 संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 अगस्त 23, 2016

प्रॉक्सी ऑटो कॉन्फिग में सेवा भेद्यता से इनकार

प्रॉक्सी ऑटो कॉन्फिग में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए डिवाइस को हैंग या रीबूट करने के लिए सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए एक असामान्य डिवाइस कॉन्फ़िगरेशन की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6723 ए-30100884 [ 2 ] संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 11 जुलाई 2016

इनपुट प्रबंधक सेवा में सेवा भेद्यता से इनकार

इनपुट प्रबंधक सेवा में सेवा सुरक्षाछिद्र का इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को लगातार रीबूट करने के लिए सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह सेवा का एक अस्थायी इनकार है जिसे ठीक करने के लिए फ़ैक्टरी रीसेट की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6724 ए-30568284 संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 गूगल आंतरिक

2016-11-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-11-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

क्वालकॉम क्रिप्टो ड्राइवर में रिमोट कोड निष्पादन भेद्यता

क्वालकॉम क्रिप्टो ड्राइवर में रिमोट कोड निष्पादन भेद्यता रिमोट हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को गंभीर के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6725 ए-30515053
क्यूसी-सीआर#1050970
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL जुलाई 25, 2016

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2015-8961 ए-30952474
अपस्ट्रीम कर्नेल
नाजुक पिक्सेल, पिक्सेल XL अक्टूबर 18, 2015
सीवीई-2016-7911 ए-30946378
अपस्ट्रीम कर्नेल
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL जुलाई 01, 2016
सीवीई-2016-7910 ए-30942273
अपस्ट्रीम कर्नेल
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL जुलाई 29, 2016

कर्नेल SCSI ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल SCSI ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2015-8962 ए-30951599
अपस्ट्रीम कर्नेल
नाजुक पिक्सेल, पिक्सेल XL अक्टूबर 30, 2015

कर्नेल मीडिया ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल मीडिया ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-7913 ए-30946097
अपस्ट्रीम कर्नेल
नाजुक Nexus 6P, Android One, Nexus Player, Pixel, Pixel XL जनवरी 28, 2016

कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-7912 ए-30950866
अपस्ट्रीम कर्नेल
नाजुक पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल अप्रैल 14, 2016

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6728 ए-30400942* नाजुक Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One जुलाई 25, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6729 ए-30977990*
क्यूसी-सीआर#977684
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL जुलाई 25, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6730 ए-30904789*
एन-सीवीई-2016-6730
नाजुक पिक्सेल सी अगस्त 16, 2016
सीवीई-2016-6731 ए-30906023*
एन-सीवीई-2016-6731
नाजुक पिक्सेल सी अगस्त 16, 2016
सीवीई-2016-6732 ए-30906599*
एन-सीवीई-2016-6732
नाजुक पिक्सेल सी अगस्त 16, 2016
सीवीई-2016-6733 ए-30906694*
एन-सीवीई-2016-6733
नाजुक पिक्सेल सी अगस्त 16, 2016
सीवीई-2016-6734 ए-30907120*
एन-सीवीई-2016-6734
नाजुक पिक्सेल सी अगस्त 16, 2016
सीवीई-2016-6735 ए-30907701*
एन-सीवीई-2016-6735
नाजुक पिक्सेल सी अगस्त 16, 2016
सीवीई-2016-6736 ए-30953284*
एन-सीवीई-2016-6736
नाजुक पिक्सेल सी अगस्त 18, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6828 ए-31183296
अपस्ट्रीम कर्नेल
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL अगस्त 18, 2016

कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-2184 ए-30952477
अपस्ट्रीम कर्नेल
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL मार्च 31, 2016

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6737 ए-30928456* नाजुक Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL गूगल आंतरिक

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम घटकों में कमजोरियां

नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां हैं और क्वालकॉम एएमएसएस जून 2016 सुरक्षा बुलेटिन और सुरक्षा अलर्ट 80-एनवी606-17 में और विस्तार से वर्णित हैं।

सीवीई संदर्भ तीव्रता* अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6727 ए-31092400** नाजुक एंड्रॉयड वन क्वालकॉम आंतरिक
सीवीई-2016-6726 ए-30775830** उच्च नेक्सस 6, एंड्रॉइड वन क्वालकॉम आंतरिक

* इन कमजोरियों के लिए गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

** इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

एक्सपैट में रिमोट कोड निष्पादन भेद्यता

नीचे दी गई तालिका में एक्सपैट लाइब्रेरी को प्रभावित करने वाली सुरक्षा कमजोरियां हैं। इन मुद्दों में से सबसे गंभीर एक्सपैट एक्सएमएल पार्सर में विशेषाधिकार भेद्यता का उन्नयन है, जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक हमलावर को एक अप्रतिबंधित प्रक्रिया में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। एक्सपैट का उपयोग करने वाले किसी एप्लिकेशन में मनमाने कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-0718 ए-28698301 उच्च कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 मई 2016
सीवीई-2012-6702 ए-29149404 संतुलित कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 06, 2016
सीवीई-2016-5300 ए-29149404 संतुलित कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 जून 04, 2016
सीवीई-2015-1283 ए-27818751 कम कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 जुलाई 24, 2015

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

वेबव्यू में रिमोट कोड निष्पादन भेद्यता

जब उपयोगकर्ता किसी वेबसाइट पर नेविगेट कर रहा होता है, तो वेबव्यू में रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को मनमाना कोड निष्पादित करने में सक्षम कर सकती है। एक गैर-विशेषाधिकार प्राप्त प्रक्रिया में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6754 ए-31217937 उच्च कोई भी नहीं* 5.0.2, 5.1.1, 6.0, 6.0.1 अगस्त 23, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

फ्रीटाइप में रिमोट कोड निष्पादन भेद्यता

फ़्रीटाइप में एक रिमोट कोड निष्पादन भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेष रूप से तैयार किए गए फ़ॉन्ट को लोड करने के लिए सक्षम कर सकती है जिससे एक अनपेक्षित प्रक्रिया में स्मृति भ्रष्टाचार हो सकता है। फ़्रीटाइप का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2014-9675 ए-24296662 [ 2 ] उच्च कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2015-8963 ए-30952077
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL दिसम्बर 15, 2015

कर्नेल सिस्टम-कॉल ऑडिटिंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल सिस्टम-कॉल ऑडिटिंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में सिस्टम-कॉल ऑडिटिंग को बाधित करने के लिए सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि यह कर्नेल-स्तरीय रक्षा के लिए गहराई या शोषण शमन तकनीक के लिए एक सामान्य बाईपास है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6136 ए-30956807
अपस्ट्रीम कर्नेल
उच्च एंड्रॉइड वन, पिक्सेल सी, नेक्सस प्लेयर 1 जुलाई 2016

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6738 ए-30034511
क्यूसी-सीआर#1050538
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL जुलाई 7, 2016

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6739 ए-30074605*
क्यूसी-सीआर#1049826
उच्च Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL 11 जुलाई 2016
सीवीई-2016-6740 ए-30143904
क्यूसी-सीआर#1056307
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL जुलाई 12, 2016
सीवीई-2016-6741 ए-30559423
क्यूसी-सीआर#1060554
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL जुलाई 28, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम बस चालक में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम बस ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-3904 ए-30311977
क्यूसी-सीआर#1050455
उच्च Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL जुलाई 22, 2016

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

Synaptics टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6742 ए-30799828* उच्च नेक्सस 5X, एंड्रॉइड वन अगस्त 9, 2016
सीवीई-2016-6744 ए-30970485* उच्च नेक्सस 5X अगस्त 19, 2016
सीवीई-2016-6745 ए-31252388* उच्च Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL सितम्बर 1, 2016
सीवीई-2016-6743 ए-30937462* उच्च नेक्सस 9, एंड्रॉइड वन गूगल आंतरिक

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता

कर्नेल घटकों में एक सूचना प्रकटीकरण भेद्यता, जिसमें मानव इंटरफ़ेस डिवाइस ड्राइवर, फ़ाइल सिस्टम और टेलेटाइप ड्राइवर शामिल हैं, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2015-8964 ए-30951112
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL नवंबर 27, 2015
सीवीई-2016-7915 ए-30951261
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL जनवरी 19, 2016
सीवीई-2016-7914 ए-30513364
अपस्ट्रीम कर्नेल
उच्च पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल अप्रैल 06, 2016
सीवीई-2016-7916 ए-30951939
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL मई 05, 2016

NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA GPU ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6746 ए-30955105*
एन-सीवीई-2016-6746
उच्च पिक्सेल सी अगस्त 18, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

Mediaserver में सेवा भेद्यता से इनकार

Mediaserver में सेवा सुरक्षाछिद्र का इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए सक्षम कर सकता है जिससे डिवाइस हैंग या रीबूट हो सके। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6747 ए-31244612*
एन-सीवीई-2016-6747
उच्च नेक्सस 9 गूगल आंतरिक

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता

प्रक्रिया-समूहन सबसिस्टम और नेटवर्किंग सबसिस्टम सहित कर्नेल घटकों में एक सूचना प्रकटीकरण भेद्यता, स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-7917 ए-30947055
अपस्ट्रीम कर्नेल
संतुलित पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल फरवरी 02, 2016
सीवीई-2016-6753 ए-30149174* संतुलित Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL जुलाई 13, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता

GPU ड्राइवर, पावर ड्राइवर, SMSM पॉइंट-टू-पॉइंट ड्राइवर और साउंड ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता, स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6748 ए-30076504
क्यूसी-सीआर#987018
संतुलित Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL जुलाई 12, 2016
सीवीई-2016-6749 ए-30228438
क्यूसी-सीआर#1052818
संतुलित Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL जुलाई 12, 2016
सीवीई-2016-6750 ए-30312054
क्यूसी-सीआर#1052825
संतुलित Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL जुलाई 21, 2016
सीवीई-2016-3906 ए-30445973
क्यूसी-सीआर#1054344
संतुलित Nexus 5X, Nexus 6P जुलाई 27, 2016
सीवीई-2016-3907 ए-30593266
क्यूसी-सीआर#1054352
संतुलित Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL अगस्त 2, 2016
सीवीई-2016-6698 ए-30741851
क्यूसी-सीआर#1058826
संतुलित Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL अगस्त 2, 2016
सीवीई-2016-6751 ए-30902162*
क्यूसी-सीआर#1062271
संतुलित Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL अगस्त 15, 2016
सीवीई-2016-6752 ए-31498159
क्यूसी-सीआर#987051
संतुलित Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL गूगल आंतरिक

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

2016-11-06 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-11-06 के सुरक्षा पैच स्तर—उपरोक्त सुभेद्यता सारांश में सूचीबद्ध प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

नोट: 2016-11-06 का एक सुरक्षा पैच स्तर इंगित करता है कि इस मुद्दे के साथ-साथ 2016-11-01 और 2016-11-05 से जुड़े सभी मुद्दों को संबोधित किया गया है।

सीवीई संदर्भ तीव्रता अद्यतन कर्नेल संस्करण तारीख की सूचना दी
सीवीई-2016-5195 ए-32141528
अपस्ट्रीम कर्नेल [ 2 ]
नाजुक 3.10, 3.18 अक्टूबर 12, 2016

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देशों को पढ़ें।

  • 2016-11-01 या बाद के सुरक्षा पैच स्तर 2016-11-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2016-11-05 या बाद के सुरक्षा पैच स्तर 2016-11-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2016-11-06 या बाद के सुरक्षा पैच स्तर 2016-11-06 के सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्तर स्ट्रिंग को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2016-11-01]
  • [ro.build.version.security_patch]:[2016-11-05]
  • [ro.build.version.security_patch]:[2016-11-06]।

2. इस बुलेटिन में तीन सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में तीन सुरक्षा पैच स्तर हैं, ताकि Android भागीदारों के पास उन कमजोरियों के सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हैं। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 1 नवंबर, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
  • जो डिवाइस 5 नवंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने चाहिए।
  • जो डिवाइस 6 नवंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने चाहिए।

भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।

3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?

2016-11-01 , 2016-11-05 और 2016-11-06 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेट किया गया Google डिवाइस कॉलम होता है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google उपकरणों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी Google डिवाइस : यदि कोई समस्या सभी Nexus और Pixel डिवाइस को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "सभी" निम्नलिखित समर्थित उपकरणों को इनकैप्सुलेट करता है: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel और Pixel XL।
  • कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई Google उपकरण नहीं : यदि Android 7.0 चलाने वाले कोई भी Google उपकरण समस्या से प्रभावित नहीं हैं, तो अद्यतन किए गए Google उपकरण स्तंभ में तालिका में "कोई नहीं" होगा।

4. संदर्भ कॉलम में प्रविष्टियाँ किस लिए मैप करती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग निम्नानुसार मानचित्र करते हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

संशोधन

  • 07 नवंबर, 2016: बुलेटिन प्रकाशित हुआ।
  • 08 नवंबर: सीवीई-2016-6709 के लिए एओएसपी लिंक और अद्यतन विवरण शामिल करने के लिए बुलेटिन में संशोधन किया गया।
  • 17 नवंबर: सीवीई-2016-6828 के लिए एट्रिब्यूशन को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
  • 21 दिसंबर: अपडेटेड रिसर्चर क्रेडिट।