Android सुरक्षा बुलेटिन—दिसंबर 2016

05 दिसंबर 2016 को प्रकाशित | 21 दिसंबर 2016 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने ओवर-द-एयर (OTA) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। Google डिवाइस फ़र्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 05 दिसंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

भागीदारों को 07 नवंबर, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपोजिटरी में जारी किए गए हैं और इस बुलेटिन से जुड़े हुए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर डिवाइस-विशिष्ट कोड में गंभीर सुरक्षा भेद्यताएं हैं जो कर्नेल के संदर्भ में मनमाने ढंग से कोड निष्पादन को सक्षम कर सकती हैं, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है। . गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेवा सुरक्षा जैसे कि SafeNet पर विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाओं

  • इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं जो सभी Android उपकरणों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2016-12-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-12-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2016-12-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-12-01 और 2016-12-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित Google उपकरणों को 05 दिसंबर, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।

Android और Google सेवा में कमी

यह Android सुरक्षा प्लेटफ़ॉर्म और सेवा सुरक्षा, जैसे कि SafetyNet द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
  • जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • बाओज़ेंग डिंग, चेंगमिंग यांग, पेंग जिओ, निंग यू, यांग डोंग, चाओ यांग, यी झांग, और अलीबाबा मोबाइल सिक्योरिटी ग्रुप के यांग सॉन्ग: सीवीई-2016-6783, सीवीई-2016-6784, सीवीई-2016-6785
  • ची झांग , मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6789, CVE-2016-6790
  • क्रिश्चियन सील: सीवीई-2016-6769
  • डेविड बेंजामिन और गूगल के केनी रूट: CVE-2016-6767
  • कीनलैब ( @keen_lab ) के डि शेन ( @returnsme ), Tencent: CVE-2016-6776, CVE-2016-6787
  • MS509Team के En He ( @heeeeen4x ) : CVE-2016-6763
  • गेंगजिया चेन ( @ चेंगजिया 4574 ), आइसस्वॉर्ड लैब के पीजेएफ, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-6779, सीवीई-2016-6778, सीवीई-2016-8401, सीवीई-2016-8402, सीवीई-2016-8403, सीवीई-2016-8409, सीवीई-2016-8408, सीवीई-2016-8404
  • जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के पीजेएफ, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-6788, सीवीई-2016-6781, सीवीई-2016-6782, सीवीई-2016-8396
  • लुबो झांग , टोंग लिन , युआन-त्सुंग लो , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
  • प्रोजेक्ट जीरो का मार्क ब्रांड: CVE-2016-6772
  • माइकल बेडनार्स्की: सीवीई-2016-6770, सीवीई-2016-6774
  • मिंगजियान झोउ ( @Mingjian_Zhou ), ची झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
  • मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6760
  • मिंगजियान झोउ ( @Mingjian_Zhou ), हैंक्सियांग वेन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6759
  • टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैंडल ( @natecray ): CVE-2016-6915, CVE-2016-6916, CVE-2016-6917
  • नाइटवॉच साइबर सुरक्षा अनुसंधान ( @nightwatchcyber ): सीवीई-2016-5341
  • पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब के लेनक्स वेई (韦韬): सीवीई-2016-6755, सीवीई-2016-6756
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
  • किडन हे (何淇丹) ( @flanker_hqd ) कीनलैब, Tencent (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
  • किडन हे (何淇丹) ( @flanker_hqd ) और कीनलैब के मार्को ग्रासी ( @marcograss ), Tencent (腾讯科恩实验室): CVE-2016-6768
  • रिचर्ड शुपक: सीवीई-2016-5341
  • IBM X-Force Research की Sagi Kedmi: CVE-2016-8393, CVE-2016-8394
  • मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ), ट्रेंड माइक्रो इंक.: CVE-2016-6757
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-6773
  • वेन्के डू , ची झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6765
  • मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो इंक. के विश वू ( @wish_wu ) (吴潍浠) : CVE-2016-6704
  • युआन-त्सुंग लो , टोंग लिन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
  • युआन-त्सुंग लो , ज़ियाओडोंग वांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6777
  • Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के युक्सियांग ली: CVE-2016-6771
  • चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के झे जिन (金哲): सीवीई-2016-6764, सीवीई-2016-6766
  • Qihoo 360 Technology Co. Ltd. के चेंगदू सुरक्षा प्रतिक्रिया केंद्र के ज़िनुओ हान : CVE-2016-6762

इस सुरक्षा बुलेटिन में उनके योगदान के लिए बॉटल टेक, योंग वांग (王勇) ( @ThomasKing2014 ), और Google के जुबिन मिथरा के मेंगलुओ गौ ( @idhyt3r ) को धन्यवाद देने के लिए अतिरिक्त धन्यवाद।

2016-12-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

CURL/LIBCURL में रिमोट कोड निष्पादन भेद्यता

तालिका में CURL और LIBCURL लाइब्रेरी को प्रभावित करने वाली सुरक्षा भेद्यताएं हैं। सबसे गंभीर समस्या एक जाली प्रमाणपत्र का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए एक मैन-इन-द-बीच हमलावर को सक्षम कर सकती है। हमलावर को जाली प्रमाणपत्र की आवश्यकता होने के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-5419 ए-31271247 उच्च सभी 7.0 अगस्त 3, 2016
सीवीई-2016-5420 ए-31271247 उच्च सभी 7.0 अगस्त 3, 2016
सीवीई-2016-5421 ए-31271247 उच्च सभी 7.0 अगस्त 3, 2016

libziparchive में विशेषाधिकार भेद्यता का उन्नयन

libziparchive लाइब्रेरी में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6762 ए-31251826 [ 2 ] उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 अगस्त 28, 2016

टेलीफोनी में सेवा भेद्यता से इनकार

टेलीफ़ोनी में सेवा सुरक्षाछिद्र की अस्वीकृति एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को हैंग या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। स्थानीय रूप से सेवा से इनकार करने की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6763 ए-31530456 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 12, 2016

Mediaserver में सेवा भेद्यता से इनकार

Mediaserver में सेवा सुरक्षाछिद्र का इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए सक्षम कर सकता है जिससे डिवाइस हैंग या रीबूट हो सके। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6766 ए-31318219 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 5, 2016
सीवीई-2016-6765 ए-31449945 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 7.0 सितम्बर 13, 2016
सीवीई-2016-6764 ए-31681434 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 22, 2016
सीवीई-2016-6767 ए-31833604 उच्च कोई भी नहीं* 4.4.4 गूगल आंतरिक

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

Framesequence लाइब्रेरी में रिमोट कोड एक्ज़ीक्यूशन भेद्यता

Framesequence लायब्रेरी में एक दूरस्थ कोड निष्पादन भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक हमलावर को सक्षम कर सकती है जो एक अप्रतिबंधित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित कर सकता है। फ़्रेम्सक्वेंस लाइब्रेरी का उपयोग करने वाले किसी एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6768 ए-31631842 उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 19, 2016

स्मार्ट लॉक में विशेषाधिकार भेद्यता का उन्नयन

स्मार्ट लॉक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को पिन के बिना स्मार्ट लॉक सेटिंग्स तक पहुंचने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक अनलॉक डिवाइस तक भौतिक पहुंच की आवश्यकता होती है जहां स्मार्ट लॉक उपयोगकर्ता द्वारा एक्सेस की गई अंतिम सेटिंग फलक थी।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6769 ए-29055171 संतुलित कोई भी नहीं* 5.0.2, 5.1.1, 6.0, 6.0.1 27 मई 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अपने एक्सेस स्तर से परे सिस्टम फ़ंक्शन तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह एक सीमित प्रक्रिया पर प्रतिबंधों का एक स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6770 ए-30202228 संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 जुलाई 16, 2016

टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन

टेलीफ़ोनी में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अपने एक्सेस स्तर से परे सिस्टम फ़ंक्शंस तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह एक सीमित प्रक्रिया पर प्रतिबंधों का एक स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6771 ए-31566390 संतुलित सभी 6.0, 6.0.1, 7.0 सितम्बर 17, 2016

वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन

वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6772 ए-31856351 [ 2 ] संतुलित सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 30, 2016

Mediaserver में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6773 ए-30481714 [ 2 ] संतुलित सभी 6.0, 6.0.1, 7.0 जुलाई 27, 2016

पैकेज प्रबंधक में सूचना प्रकटीकरण भेद्यता

पैकेज मैनेजर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-6774 ए-31251489 संतुलित सभी 7.0 अगस्त 29, 2016

2016-12-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-12-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-4794 ए-31596597
अपस्ट्रीम कर्नेल [ 2 ]
नाजुक पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल अप्रैल 17, 2016
सीवीई-2016-5195 ए-32141528
अपस्ट्रीम कर्नेल [ 2 ]
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL अक्टूबर 12, 2016

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6775 ए-31222873*
एन-सीवीई-2016-6775
नाजुक नेक्सस 9 अगस्त 25, 2016
सीवीई-2016-6776 ए-31680980*
एन-सीवीई-2016-6776
नाजुक नेक्सस 9 सितम्बर 22, 2016
सीवीई-2016-6777 ए-31910462*
एन-सीवीई-2016-6777
नाजुक नेक्सस 9 अक्टूबर 3, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2015-8966 ए-31435731
अपस्ट्रीम कर्नेल
नाजुक कोई भी नहीं* सितम्बर 10, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6915 ए-31471161*
एन-सीवीई-2016-6915
नाजुक नेक्सस 9 सितम्बर 13, 2016
सीवीई-2016-6916 ए-32072350*
एन-सीवीई-2016-6916
नाजुक नेक्सस 9, पिक्सेल सी सितम्बर 13, 2016
सीवीई-2016-6917 ए-32072253*
एन-सीवीई-2016-6917
नाजुक नेक्सस 9 सितम्बर 13, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल ION ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल ION ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-9120 ए-31568617
अपस्ट्रीम कर्नेल
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player सितम्बर 16, 2016

क्वालकॉम घटकों में कमजोरियां

निम्नलिखित भेद्यताएं क्वालकॉम घटकों को प्रभावित करती हैं और क्वालकॉम एएमएसएस नवंबर 2015 सुरक्षा बुलेटिन में और विस्तार से वर्णित किया गया है।

सीवीई संदर्भ तीव्रता* अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8411 ए-31805216** नाजुक नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन क्वालकॉम आंतरिक

* इन कमजोरियों के लिए गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

** इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2014-4014 ए-31252187
अपस्ट्रीम कर्नेल
उच्च नेक्सस 6, नेक्सस प्लेयर जून 10, 2014

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक अलग भेद्यता के शोषण की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2015-8967 ए-31703084
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL जनवरी 8, 2015

HTC ध्वनि कोडेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

HTC ध्वनि कोडेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6778 ए-31384646* उच्च नेक्सस 9 फरवरी 25, 2016
सीवीई-2016-6779 ए-31386004* उच्च नेक्सस 9 फरवरी 25, 2016
सीवीई-2016-6780 ए-31251496* उच्च नेक्सस 9 अगस्त 30, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6492 ए-28175122
एमटी-एएलपीएस02696413
उच्च कोई भी नहीं* अप्रैल 11, 2016
सीवीई-2016-6781 ए-31095175
एमटी-एएलपीएस02943455
उच्च कोई भी नहीं* अगस्त 22, 2016
सीवीई-2016-6782 ए-31224389
एमटी-एएलपीएस02943506
उच्च कोई भी नहीं* अगस्त 24, 2016
सीवीई-2016-6783 ए-31350044
एमटी-एएलपीएस02943437
उच्च कोई भी नहीं* सितम्बर 6, 2016
सीवीई-2016-6784 ए-31350755
एमटी-एएलपीएस02961424
उच्च कोई भी नहीं* सितम्बर 6, 2016
सीवीई-2016-6785 ए-31748056
एमटी-एएलपीएस02961400
उच्च कोई भी नहीं* सितम्बर 25, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6761 ए-29421682*
क्यूसी-सीआर#1055792
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL जून 16, 2016
सीवीई-2016-6760 ए-29617572*
क्यूसी-सीआर#1055783
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL जून 23, 2016
सीवीई-2016-6759 ए-29982686*
क्यूसी-सीआर#1055766
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL जुलाई 4, 2016
सीवीई-2016-6758 ए-30148882*
क्यूसी-सीआर#1071731
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL जुलाई 13, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6755 ए-30740545
क्यूसी-सीआर#1065916
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL अगस्त 3, 2016

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6786 ए-30955111 अपस्ट्रीम कर्नेल उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL अगस्त 18, 2016
सीवीई-2016-6787 A-31095224 अपस्ट्रीम कर्नेल उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL अगस्त 22, 2016

MediaTek I2C ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

MediaTek I2C ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6788 ए-31224428
एमटी-एएलपीएस02943467
उच्च कोई भी नहीं* अगस्त 24, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

NVIDIA libomx पुस्तकालय में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA libomx लाइब्रेरी (libnvomx) में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6789 ए-31251973*
एन-सीवीई-2016-6789
उच्च पिक्सेल सी अगस्त 29, 2016
सीवीई-2016-6790 ए-31251628*
एन-सीवीई-2016-6790
उच्च पिक्सेल सी अगस्त 28, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6791 ए-31252384
क्यूसी-सीआर#1071809
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL अगस्त 31, 2016
सीवीई-2016-8391 ए-31253255
क्यूसी-सीआर#1072166
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL अगस्त 31, 2016
सीवीई-2016-8392 ए-31385862
क्यूसी-सीआर#1073136
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL सितम्बर 8, 2016

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2015-7872 ए-31253168
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL अगस्त 31, 2016

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

Synaptics टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8393 ए-31911920* उच्च Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL सितम्बर 8, 2016
सीवीई-2016-8394 ए-31913197* उच्च नेक्सस 9, एंड्रॉइड वन सितम्बर 8, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2014-9909 ए-31676542
बी-आरबी#26684
उच्च कोई भी नहीं* सितम्बर 21, 2016
सीवीई-2014-9910 ए-31746399
बी-आरबी#26710
उच्च कोई भी नहीं* सितम्बर 26, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

मीडियाटेक वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

मीडियाटेक वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8396 ए-31249105 उच्च कोई भी नहीं* अगस्त 26, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8397 ए-31385953*
एन-सीवीई-2016-8397
उच्च नेक्सस 9 सितम्बर 8, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

जीपीएस में सेवा भेद्यता से इनकार

क्वालकॉम जीपीएस घटक में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को डिवाइस को हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के अस्थायी दूरस्थ इनकार की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-5341 ए-31470303* उच्च Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL जून 21, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

NVIDIA कैमरा ड्राइवर में सेवा भेद्यता से इनकार

NVIDIA कैमरा ड्राइवर में सेवा भेद्यता से इनकार एक हमलावर को स्थानीय स्थायी सेवा से वंचित करने के लिए सक्षम कर सकता है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है। स्थानीय रूप से सेवा से इनकार करने की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8395 ए-31403040*
एन-सीवीई-2016-8395
उच्च पिक्सेल सी सितम्बर 9, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान कंपाइलर ऑप्टिमाइज़ेशन कमजोर कोड तक पहुंच को प्रतिबंधित करता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8399 ए-31349935* संतुलित Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL सितम्बर 5, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता

कैमरा ड्राइवर और वीडियो ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-6756 ए-29464815
क्यूसी-सीआर#1042068 [ 2 ]
संतुलित Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL जून 17, 2016
सीवीई-2016-6757 ए-30148242
क्यूसी-सीआर#1052821
संतुलित Nexus 5X, Nexus 6, Nexus 6P, पिक्सेल, पिक्सेल XL जुलाई 13, 2016

NVIDIA librm पुस्तकालय में सूचना प्रकटीकरण भेद्यता

NVIDIA librm लाइब्रेरी (libnvrm) में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8400 ए-31251599*
एन-सीवीई-2016-8400
संतुलित पिक्सेल सी अगस्त 29, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता

आईओएन सबसिस्टम, बाइंडर, यूएसबी ड्राइवर और नेटवर्किंग सबसिस्टम सहित कर्नेल घटकों में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8401 ए-31494725* संतुलित Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL सितम्बर 13, 2016
सीवीई-2016-8402 ए-31495231* संतुलित Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL सितम्बर 13, 2016
सीवीई-2016-8403 ए-31495348* संतुलित नेक्सस 9 सितम्बर 13, 2016
सीवीई-2016-8404 ए-31496950* संतुलित नेक्सस 9 सितम्बर 13, 2016
सीवीई-2016-8405 ए-31651010* संतुलित Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL सितम्बर 21, 2016
सीवीई-2016-8406 ए-31796940* संतुलित Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL सितम्बर 27, 2016
सीवीई-2016-8407 ए-31802656* संतुलित Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL सितम्बर 28, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8408 ए-31496571*
एन-सीवीई-2016-8408
संतुलित नेक्सस 9 सितम्बर 13, 2016
सीवीई-2016-8409 ए-31495687*
एन-सीवीई-2016-8409
संतुलित नेक्सस 9 सितम्बर 13, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम ध्वनि चालक में सूचना प्रकटीकरण भेद्यता

क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8410 ए-31498403
क्यूसी-सीआर#987010
संतुलित Nexus 5X, Nexus 6, Nexus 6P, Android One गूगल आंतरिक

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देशों को पढ़ें।

  • 2016-12-01 या बाद के सुरक्षा पैच स्तर 2016-12-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2016-12-05 या बाद के सुरक्षा पैच स्तर 2016-12-05 के सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 1 दिसंबर, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
  • जो डिवाइस 5 दिसंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।

3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?

2016-12-01 और 2016-12-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेट किया गया Google डिवाइस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित Google उपकरणों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी Google डिवाइस : यदि कोई समस्या सभी और पिक्सेल डिवाइस को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "सभी" निम्नलिखित समर्थित उपकरणों को इनकैप्सुलेट करता है: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel और Pixel XL।
  • कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई Google उपकरण नहीं : यदि Android 7.0 चलाने वाले कोई भी Google उपकरण समस्या से प्रभावित नहीं हैं, तो अद्यतन किए गए Google उपकरण स्तंभ में तालिका में "कोई नहीं" होगा।

4. संदर्भ कॉलम में प्रविष्टियाँ किस लिए मैप करती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग निम्नानुसार मानचित्र करते हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

संशोधन

  • 05 दिसंबर 2016: बुलेटिन प्रकाशित।
  • 07 दिसंबर, 2016: सीवीई-2016-6915, सीवीई-2016-6916 और सीवीई-2016-6917 के लिए एओएसपी लिंक और अपडेटेड एट्रिब्यूशन को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
  • 21 दिसंबर 2016: सीवीई-2016-8411 विवरण और सामान्य प्रश्न और उत्तर में त्रुटियों को ठीक किया गया।