07 नवंबर 2016 को प्रकाशित | 21 दिसंबर 2016 को अपडेट किया गया
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने ओवर-द-एयर (OTA) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। Google डिवाइस फ़र्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 06 नवंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
भागीदारों को 20 अक्टूबर, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेवा सुरक्षा जैसे कि SafeNet पर विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाओं
- Pixel और Pixel XL उपकरणों की शुरुआत के साथ, Google द्वारा समर्थित सभी उपकरणों के लिए शब्द "Nexus डिवाइस" के बजाय "Google डिवाइस" है।
- इस बुलेटिन में तीन सुरक्षा पैच स्तर हैं, जो सभी Android उपकरणों में समान कमजोरियों के एक सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-11-01 : आंशिक सुरक्षा पैच स्तर। यह सुरक्षा पैच स्तर इंगित करता है कि 2016-11-01 (और सभी पिछले सुरक्षा पैच स्तर) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-11-05 : पूर्ण सुरक्षा पैच स्तर। यह सुरक्षा पैच स्तर इंगित करता है कि 2016-11-01 और 2016-11-05 (और सभी पिछले सुरक्षा पैच स्तर) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- पूरक सुरक्षा पैच स्तर
उन उपकरणों की पहचान करने के लिए पूरक सुरक्षा पैच स्तर प्रदान किए जाते हैं जिनमें उन समस्याओं के समाधान होते हैं जिन्हें पैच स्तर परिभाषित किए जाने के बाद सार्वजनिक रूप से प्रकट किया गया था। 2016-12-01 सुरक्षा पैच स्तर तक इन हाल ही में प्रकट की गई कमजोरियों को संबोधित करने की आवश्यकता नहीं है।
- 2016-11-06 : यह सुरक्षा पैच स्तर इंगित करता है कि डिवाइस ने 2016-11-05 और सीवीई-2016-5195 से जुड़े सभी मुद्दों को संबोधित किया है, जिसका खुलासा 19 अक्टूबर, 2016 को सार्वजनिक रूप से किया गया था।
- समर्थित Google उपकरणों को 05 नवंबर, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।
Android और Google सेवा में कमी
यह Android सुरक्षा प्लेटफ़ॉर्म और सेवा सुरक्षा, जैसे कि SafetyNet द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
- जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-6722
- Google के आंद्रेई कपिशनिकोव और मिरियम गेर्शेनसन: CVE-2016-6703
- एओ वांग ( @ArayzSegment ) और PKAV के ज़िनुओ हान , साइलेंस इंफॉर्मेशन टेक्नोलॉजी: CVE-2016-6700, CVE-2016-6702
- सुरक्षा प्लेटफ़ॉर्म विभाग, Tencent का आकाशशांग: CVE-2016-6713
- Android सुरक्षा का बिली लाउ: CVE-2016-6737
- पीरियस विश्वविद्यालय के कॉन्स्टेंटिनोस पाटसाकिस और एफथिमियोस एलेपिस : सीवीई-2016-6715
- अलीबाबा मोबाइल सुरक्षा टीम का Dragonltx: CVE-2016-6714
- प्रोजेक्ट जीरो की गैल बेनियामिनी: सीवीई-2016-6707, सीवीई-2016-6717
- गेंगजिया चेन ( @ चेंगजिया 4574 ) और आइसस्वॉर्ड लैब के पीजेएफ, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड : सीवीई-2016-6725, सीवीई-2016-6738, सीवीई-2016-6740, सीवीई-2016-6741, सीवीई-2016-6742, सीवीई-2016-6744, सीवीई-2016-6745, सीवीई-2016-3906
- अल्फा टीम, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के गुआंग गोंग (龚广) ( @oldfresher ) .: CVE-2016-6754
- जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के पीजेएफ, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड : सीवीई-2016-6739, सीवीई-2016-3904, सीवीई-2016-3907, सीवीई-2016-6698
- Tencent की कीन लैब के मार्को ग्रासी ( @marcograss ) ( @keen_lab ): CVE-2016-6828
- प्रोजेक्ट जीरो का मार्क ब्रांड: CVE-2016-6706
- Google के मार्क रेनॉफ़: CVE-2016-6724
- माइकल बेडनार्स्की ( github.com/michalbednarski ): CVE-2016-6710
- Android सुरक्षा का मिन चोंग: CVE-2016-6743
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-6721
- किडन हे (何淇丹) ( @flanker_hqd ) और कीनलैब के गेंगमिंग लियू (刘耕铭) ( @dmxcsnsbh ), Tencent: CVE-2016-6705
- Google के रॉबिन ली: CVE-2016-6708
- स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-6751
- कैसपर्सकी लैब के सर्गेई बोब्रोव ( @Black2Fan ): CVE-2016-6716
- ट्रेंड माइक्रो मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
- विक्टर वैन डेर वेन, हर्बर्ट बोस, केवे रज़ावी, और वर्जे यूनिवर्सिटिट एम्स्टर्डम के क्रिस्टियानो गिफ्रिडा और कैलिफोर्निया विश्वविद्यालय, सांता बारबरा के यानिक फ्रैटेंटोनियो, मार्टिना लिंडोर्फर और जियोवानी विग्ना: सीवीई-2016-6728
- अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
- Wenke Dou ( vancouverdou@gmail.com ), Chiachih Wu ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6720
- ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-6704
- नाइटवॉच साइबर सुरक्षा के याकोव शफ्रानोविच: CVE-2016-6723
- युआन-त्सुंग लो , याओ जून , टोंग लिन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
- युआन-त्सुंग लो , याओ जून , ज़ियाओडोंग वांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746
इस बुलेटिन में कई मुद्दों पर उनके योगदान के लिए Android सुरक्षा के Zach Riggle को अतिरिक्त धन्यवाद।
2016-11-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-11-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
Mediaserver में रिमोट कोड निष्पादन भेद्यता
Mediaserver में रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6699 | ए-31373622 | नाजुक | सभी | 7.0 | जुलाई 27, 2016 |
libzipfile में विशेषाधिकार भेद्यता का उन्नयन
libzipfile में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6700 | ए-30916186 | नाजुक | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1 | अगस्त 17, 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
स्की में रिमोट कोड निष्पादन भेद्यता
libskia में एक रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। गैलरी प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6701 | ए-30190637 | उच्च | सभी | 7.0 | गूगल आंतरिक |
libjpeg में रिमोट कोड निष्पादन भेद्यता
libjpeg में एक रिमोट कोड निष्पादन भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक हमलावर को सक्षम कर सकती है ताकि एक अप्रतिबंधित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित किया जा सके। libjpeg का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6702 | ए-30259087 | उच्च | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1 | जुलाई 19, 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
एंड्रॉइड रनटाइम में रिमोट कोड निष्पादन भेद्यता
एंड्रॉइड रनटाइम लाइब्रेरी में रिमोट कोड निष्पादन भेद्यता एक विशेष रूप से तैयार किए गए पेलोड का उपयोग कर एक हमलावर को एक अप्रतिबंधित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। एंड्रॉइड रनटाइम का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6703 | ए-30765246 | उच्च | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6704 | ए-30229821 [ 2 ] [ 3 ] | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 19, 2016 |
| सीवीई-2016-6705 | ए-30907212 [ 2 ] | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | अगस्त 16, 2016 |
| सीवीई-2016-6706 | ए-31385713 | उच्च | सभी | 7.0 | सितम्बर 8, 2016 |
सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन
सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6707 | ए-31350622 | उच्च | सभी | 6.0, 6.0.1, 7.0 | सितम्बर 7, 2016 |
सिस्टम UI में विशेषाधिकार भेद्यता का उन्नयन
सिस्टम UI में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को मल्टी-विंडो मोड में कार्य प्रोफ़ाइल के सुरक्षा संकेत को बायपास करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6708 | ए-30693465 | उच्च | सभी | 7.0 | गूगल आंतरिक |
Concrypt में सूचना प्रकटीकरण भेद्यता
यदि किसी एप्लिकेशन द्वारा लीगेसी एन्क्रिप्शन एपीआई का उपयोग किया जाता है, तो कॉन्सक्रिप्ट में एक सूचना प्रकटीकरण भेद्यता एक हमलावर को संवेदनशील जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6709 | ए-31081987 | उच्च | सभी | 6.0, 6.0.1, 7.0 | 9 अक्टूबर 2015 |
डाउनलोड प्रबंधक में सूचना प्रकटीकरण भेद्यता
डाउनलोड प्रबंधक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जिस पर एप्लिकेशन की पहुंच नहीं है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6710 | ए-30537115 [ 2 ] | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 30, 2016 |
ब्लूटूथ में सेवा भेद्यता से इनकार
ब्लूटूथ में सेवा की सुरक्षा से इनकार एक निकटवर्ती हमलावर को प्रभावित डिवाइस पर ब्लूटूथ एक्सेस को ब्लॉक करने में सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2014-9908 | ए-28672558 | उच्च | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1 | 5 मई 2014 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
OpenJDK में सेवा भेद्यता से इनकार
OpenJDK में सेवा भेद्यता का एक दूरस्थ इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए डिवाइस को हैंग या रिबूट करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2015-0410 | ए-30703445 | उच्च | सभी | 7.0 | जनवरी 16, 2015 |
Mediaserver में सेवा भेद्यता से इनकार
Mediaserver में सेवा सुरक्षाछिद्र का एक दूरस्थ इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए एक डिवाइस हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6711 | ए-30593765 | उच्च | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | अगस्त 1, 2016 |
| सीवीई-2016-6712 | ए-30593752 | उच्च | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | अगस्त 1, 2016 |
| सीवीई-2016-6713 | ए-30822755 | उच्च | सभी | 6.0, 6.0.1, 7.0 | अगस्त 11, 2016 |
| सीवीई-2016-6714 | ए-31092462 | उच्च | सभी | 6.0, 6.0.1, 7.0 | अगस्त 22, 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की अनुमति के बिना ऑडियो रिकॉर्ड करने की अनुमति दे सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता की शुरुआत या उपयोगकर्ता अनुमति की आवश्यकता होती है)।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6715 | ए-29833954 | संतुलित | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 28, 2016 |
एओएसपी लॉन्चर में विशेषाधिकार भेद्यता का उन्नयन
एओएसपी लॉन्चर में विशेषाधिकार भेद्यता का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसे शॉर्टकट बनाने की अनुमति दे सकता है जिनके पास उपयोगकर्ता की सहमति के बिना उन्नत विशेषाधिकार हैं। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता की शुरुआत या उपयोगकर्ता अनुमति की आवश्यकता होती है)।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6716 | ए-30778130 | संतुलित | सभी | 7.0 | अगस्त 5, 2016 |
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन
Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक अलग भेद्यता के शोषण की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6717 | ए-31350239 | संतुलित | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 7, 2016 |
खाता प्रबंधक सेवा में विशेषाधिकार भेद्यता का उन्नयन
खाता प्रबंधक सेवा में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता सहभागिता के बिना संवेदनशील जानकारी प्राप्त करने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता की शुरुआत या उपयोगकर्ता की अनुमति की आवश्यकता होती है।)
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6718 | ए-30455516 | संतुलित | सभी | 7.0 | गूगल आंतरिक |
ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन
ब्लूटूथ घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की सहमति के बिना किसी भी ब्लूटूथ डिवाइस के साथ युग्मित करने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता की शुरुआत या उपयोगकर्ता अनुमति की आवश्यकता होती है)।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6719 | ए-29043989 [ 2 ] | संतुलित | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
Mediaserver में सूचना प्रकटीकरण भेद्यता
Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6720 | ए-29422020 [ 2 ] [ 3 ] [ 4 ] | संतुलित | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जून 15, 2016 |
| सीवीई-2016-6721 | ए-30875060 | संतुलित | सभी | 6.0, 6.0.1, 7.0 | अगस्त 13, 2016 |
| सीवीई-2016-6722 | ए-31091777 | संतुलित | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | अगस्त 23, 2016 |
प्रॉक्सी ऑटो कॉन्फिग में सेवा भेद्यता से इनकार
प्रॉक्सी ऑटो कॉन्फिग में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए डिवाइस को हैंग या रीबूट करने के लिए सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए एक असामान्य डिवाइस कॉन्फ़िगरेशन की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6723 | ए-30100884 [ 2 ] | संतुलित | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 11 जुलाई 2016 |
इनपुट प्रबंधक सेवा में सेवा भेद्यता से इनकार
इनपुट प्रबंधक सेवा में सेवा सुरक्षाछिद्र का इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को लगातार रीबूट करने के लिए सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह सेवा का एक अस्थायी इनकार है जिसे ठीक करने के लिए फ़ैक्टरी रीसेट की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6724 | ए-30568284 | संतुलित | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
2016-11-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-11-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
क्वालकॉम क्रिप्टो ड्राइवर में रिमोट कोड निष्पादन भेद्यता
क्वालकॉम क्रिप्टो ड्राइवर में रिमोट कोड निष्पादन भेद्यता रिमोट हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को गंभीर के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6725 | ए-30515053 क्यूसी-सीआर#1050970 | नाजुक | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | जुलाई 25, 2016 |
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8961 | ए-30952474 अपस्ट्रीम कर्नेल | नाजुक | पिक्सेल, पिक्सेल XL | अक्टूबर 18, 2015 |
| सीवीई-2016-7911 | ए-30946378 अपस्ट्रीम कर्नेल | नाजुक | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | जुलाई 01, 2016 |
| सीवीई-2016-7910 | ए-30942273 अपस्ट्रीम कर्नेल | नाजुक | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | जुलाई 29, 2016 |
कर्नेल SCSI ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल SCSI ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8962 | ए-30951599 अपस्ट्रीम कर्नेल | नाजुक | पिक्सेल, पिक्सेल XL | अक्टूबर 30, 2015 |
कर्नेल मीडिया ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल मीडिया ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-7913 | ए-30946097 अपस्ट्रीम कर्नेल | नाजुक | Nexus 6P, Android One, Nexus Player, Pixel, Pixel XL | जनवरी 28, 2016 |
कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-7912 | ए-30950866 अपस्ट्रीम कर्नेल | नाजुक | पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल | अप्रैल 14, 2016 |
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6728 | ए-30400942* | नाजुक | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | जुलाई 25, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6729 | ए-30977990* क्यूसी-सीआर#977684 | नाजुक | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | जुलाई 25, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6730 | ए-30904789* एन-सीवीई-2016-6730 | नाजुक | पिक्सेल सी | अगस्त 16, 2016 |
| सीवीई-2016-6731 | ए-30906023* एन-सीवीई-2016-6731 | नाजुक | पिक्सेल सी | अगस्त 16, 2016 |
| सीवीई-2016-6732 | ए-30906599* एन-सीवीई-2016-6732 | नाजुक | पिक्सेल सी | अगस्त 16, 2016 |
| सीवीई-2016-6733 | ए-30906694* एन-सीवीई-2016-6733 | नाजुक | पिक्सेल सी | अगस्त 16, 2016 |
| सीवीई-2016-6734 | ए-30907120* एन-सीवीई-2016-6734 | नाजुक | पिक्सेल सी | अगस्त 16, 2016 |
| सीवीई-2016-6735 | ए-30907701* एन-सीवीई-2016-6735 | नाजुक | पिक्सेल सी | अगस्त 16, 2016 |
| सीवीई-2016-6736 | ए-30953284* एन-सीवीई-2016-6736 | नाजुक | पिक्सेल सी | अगस्त 18, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6828 | ए-31183296 अपस्ट्रीम कर्नेल | नाजुक | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | अगस्त 18, 2016 |
कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-2184 | ए-30952477 अपस्ट्रीम कर्नेल | नाजुक | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | मार्च 31, 2016 |
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6737 | ए-30928456* | नाजुक | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | गूगल आंतरिक |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम घटकों में कमजोरियां
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां हैं और क्वालकॉम एएमएसएस जून 2016 सुरक्षा बुलेटिन और सुरक्षा अलर्ट 80-एनवी606-17 में और विस्तार से वर्णित हैं।
| सीवीई | संदर्भ | तीव्रता* | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6727 | ए-31092400** | नाजुक | एंड्रॉयड वन | क्वालकॉम आंतरिक |
| सीवीई-2016-6726 | ए-30775830** | उच्च | नेक्सस 6, एंड्रॉइड वन | क्वालकॉम आंतरिक |
* इन कमजोरियों के लिए गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।
** इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
एक्सपैट में रिमोट कोड निष्पादन भेद्यता
नीचे दी गई तालिका में एक्सपैट लाइब्रेरी को प्रभावित करने वाली सुरक्षा कमजोरियां हैं। इन मुद्दों में से सबसे गंभीर एक्सपैट एक्सएमएल पार्सर में विशेषाधिकार भेद्यता का उन्नयन है, जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक हमलावर को एक अप्रतिबंधित प्रक्रिया में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। एक्सपैट का उपयोग करने वाले किसी एप्लिकेशन में मनमाने कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-0718 | ए-28698301 | उच्च | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 मई 2016 |
| सीवीई-2012-6702 | ए-29149404 | संतुलित | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 06, 2016 |
| सीवीई-2016-5300 | ए-29149404 | संतुलित | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जून 04, 2016 |
| सीवीई-2015-1283 | ए-27818751 | कम | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जुलाई 24, 2015 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
वेबव्यू में रिमोट कोड निष्पादन भेद्यता
जब उपयोगकर्ता किसी वेबसाइट पर नेविगेट कर रहा होता है, तो वेबव्यू में रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को मनमाना कोड निष्पादित करने में सक्षम कर सकती है। एक गैर-विशेषाधिकार प्राप्त प्रक्रिया में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6754 | ए-31217937 | उच्च | कोई भी नहीं* | 5.0.2, 5.1.1, 6.0, 6.0.1 | अगस्त 23, 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
फ्रीटाइप में रिमोट कोड निष्पादन भेद्यता
फ़्रीटाइप में एक रिमोट कोड निष्पादन भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेष रूप से तैयार किए गए फ़ॉन्ट को लोड करने के लिए सक्षम कर सकती है जिससे एक अनपेक्षित प्रक्रिया में स्मृति भ्रष्टाचार हो सकता है। फ़्रीटाइप का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2014-9675 | ए-24296662 [ 2 ] | उच्च | कोई भी नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8963 | ए-30952077 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | दिसम्बर 15, 2015 |
कर्नेल सिस्टम-कॉल ऑडिटिंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल सिस्टम-कॉल ऑडिटिंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में सिस्टम-कॉल ऑडिटिंग को बाधित करने के लिए सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि यह कर्नेल-स्तरीय रक्षा के लिए गहराई या शोषण शमन तकनीक के लिए एक सामान्य बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6136 | ए-30956807 अपस्ट्रीम कर्नेल | उच्च | एंड्रॉइड वन, पिक्सेल सी, नेक्सस प्लेयर | 1 जुलाई 2016 |
क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6738 | ए-30034511 क्यूसी-सीआर#1050538 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | जुलाई 7, 2016 |
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6739 | ए-30074605* क्यूसी-सीआर#1049826 | उच्च | Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL | 11 जुलाई 2016 |
| सीवीई-2016-6740 | ए-30143904 क्यूसी-सीआर#1056307 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | जुलाई 12, 2016 |
| सीवीई-2016-6741 | ए-30559423 क्यूसी-सीआर#1060554 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | जुलाई 28, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम बस चालक में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम बस ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-3904 | ए-30311977 क्यूसी-सीआर#1050455 | उच्च | Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL | जुलाई 22, 2016 |
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
Synaptics टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6742 | ए-30799828* | उच्च | नेक्सस 5X, एंड्रॉइड वन | अगस्त 9, 2016 |
| सीवीई-2016-6744 | ए-30970485* | उच्च | नेक्सस 5X | अगस्त 19, 2016 |
| सीवीई-2016-6745 | ए-31252388* | उच्च | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | सितम्बर 1, 2016 |
| सीवीई-2016-6743 | ए-30937462* | उच्च | नेक्सस 9, एंड्रॉइड वन | गूगल आंतरिक |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता
कर्नेल घटकों में एक सूचना प्रकटीकरण भेद्यता, जिसमें मानव इंटरफ़ेस डिवाइस ड्राइवर, फ़ाइल सिस्टम और टेलेटाइप ड्राइवर शामिल हैं, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8964 | ए-30951112 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | नवंबर 27, 2015 |
| सीवीई-2016-7915 | ए-30951261 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | जनवरी 19, 2016 |
| सीवीई-2016-7914 | ए-30513364 अपस्ट्रीम कर्नेल | उच्च | पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल | अप्रैल 06, 2016 |
| सीवीई-2016-7916 | ए-30951939 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | मई 05, 2016 |
NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA GPU ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6746 | ए-30955105* एन-सीवीई-2016-6746 | उच्च | पिक्सेल सी | अगस्त 18, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
Mediaserver में सेवा भेद्यता से इनकार
Mediaserver में सेवा सुरक्षाछिद्र का इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए सक्षम कर सकता है जिससे डिवाइस हैंग या रीबूट हो सके। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6747 | ए-31244612* एन-सीवीई-2016-6747 | उच्च | नेक्सस 9 | गूगल आंतरिक |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता
प्रक्रिया-समूहन सबसिस्टम और नेटवर्किंग सबसिस्टम सहित कर्नेल घटकों में एक सूचना प्रकटीकरण भेद्यता, स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-7917 | ए-30947055 अपस्ट्रीम कर्नेल | संतुलित | पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल | फरवरी 02, 2016 |
| सीवीई-2016-6753 | ए-30149174* | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | जुलाई 13, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता
GPU ड्राइवर, पावर ड्राइवर, SMSM पॉइंट-टू-पॉइंट ड्राइवर और साउंड ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता, स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6748 | ए-30076504 क्यूसी-सीआर#987018 | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | जुलाई 12, 2016 |
| सीवीई-2016-6749 | ए-30228438 क्यूसी-सीआर#1052818 | संतुलित | Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL | जुलाई 12, 2016 |
| सीवीई-2016-6750 | ए-30312054 क्यूसी-सीआर#1052825 | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | जुलाई 21, 2016 |
| सीवीई-2016-3906 | ए-30445973 क्यूसी-सीआर#1054344 | संतुलित | Nexus 5X, Nexus 6P | जुलाई 27, 2016 |
| सीवीई-2016-3907 | ए-30593266 क्यूसी-सीआर#1054352 | संतुलित | Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL | अगस्त 2, 2016 |
| सीवीई-2016-6698 | ए-30741851 क्यूसी-सीआर#1058826 | संतुलित | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | अगस्त 2, 2016 |
| सीवीई-2016-6751 | ए-30902162* क्यूसी-सीआर#1062271 | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | अगस्त 15, 2016 |
| सीवीई-2016-6752 | ए-31498159 क्यूसी-सीआर#987051 | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | गूगल आंतरिक |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
2016-11-06 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-11-06 के सुरक्षा पैच स्तर—उपरोक्त सुभेद्यता सारांश में सूचीबद्ध प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
नोट: 2016-11-06 का एक सुरक्षा पैच स्तर इंगित करता है कि इस मुद्दे के साथ-साथ 2016-11-01 और 2016-11-05 से जुड़े सभी मुद्दों को संबोधित किया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन कर्नेल संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-5195 | ए-32141528 अपस्ट्रीम कर्नेल [ 2 ] | नाजुक | 3.10, 3.18 | अक्टूबर 12, 2016 |
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देशों को पढ़ें।
- 2016-11-01 या बाद के सुरक्षा पैच स्तर 2016-11-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
- 2016-11-05 या बाद के सुरक्षा पैच स्तर 2016-11-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
- 2016-11-06 या बाद के सुरक्षा पैच स्तर 2016-11-06 के सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्तर स्ट्रिंग को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2016-11-01]
- [ro.build.version.security_patch]:[2016-11-05]
- [ro.build.version.security_patch]:[2016-11-06]।
2. इस बुलेटिन में तीन सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में तीन सुरक्षा पैच स्तर हैं, ताकि Android भागीदारों के पास उन कमजोरियों के सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हैं। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- 1 नवंबर, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
- जो डिवाइस 5 नवंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने चाहिए।
- जो डिवाइस 6 नवंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने चाहिए।
भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।
3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?
2016-11-01 , 2016-11-05 और 2016-11-06 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेट किया गया Google डिवाइस कॉलम होता है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google उपकरणों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी Google डिवाइस : यदि कोई समस्या सभी Nexus और Pixel डिवाइस को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "सभी" निम्नलिखित समर्थित उपकरणों को इनकैप्सुलेट करता है: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel और Pixel XL।
- कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
- कोई Google उपकरण नहीं : यदि Android 7.0 चलाने वाले कोई भी Google उपकरण समस्या से प्रभावित नहीं हैं, तो अद्यतन किए गए Google उपकरण स्तंभ में तालिका में "कोई नहीं" होगा।
4. संदर्भ कॉलम में प्रविष्टियाँ किस लिए मैप करती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग निम्नानुसार मानचित्र करते हैं:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| क्यूसी- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
संशोधन
- 07 नवंबर, 2016: बुलेटिन प्रकाशित हुआ।
- 08 नवंबर: सीवीई-2016-6709 के लिए एओएसपी लिंक और अद्यतन विवरण शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- 17 नवंबर: सीवीई-2016-6828 के लिए एट्रिब्यूशन को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- 21 दिसंबर: अपडेटेड रिसर्चर क्रेडिट।