पब्लिश करने की तारीख: 05 दिसंबर, 2016 | अपडेट करने की तारीख: 21 दिसंबर, 2016
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. इस सूचना के साथ ही, हमने Google डिवाइसों के लिए, ओवर-द-एयर (ओटीए) अपडेट के ज़रिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Google डिवाइस के फ़र्मवेयर की इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. 05 दिसंबर, 2016 या उसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.
पार्टनर को 07 नवंबर, 2016 या उससे पहले, बुलेटिन में बताई गई समस्याओं के बारे में सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए गए हैं और इस सूचना से लिंक किए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्याएं, डिवाइस के हिसाब से बनाए गए कोड में सुरक्षा से जुड़ी गंभीर समस्याएं हैं. इनकी वजह से, कोर के संदर्भ में मनमुताबिक कोड को चलाया जा सकता है. इससे, डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और SafetyNet जैसी सेवा से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
सूचनाएं
- इस सूचना में, सिक्योरिटी पैच लेवल की दो स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं. ज़्यादा जानकारी के लिए,
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब देखें:
- 01-12-2016: सुरक्षा पैच के लेवल की कुछ जानकारी देने वाली स्ट्रिंग. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-12-2016 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-12-2016: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. इस सिक्योरिटी पैच लेवल की स्ट्रिंग से पता चलता है कि 01-12-2016 और 05-12-2016 (और सिक्योरिटी पैच लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- ज़रूरी शर्तें पूरी करने वाले Google डिवाइसों को 05 दिसंबर, 2016 के सुरक्षा पैच लेवल के साथ, एक ओटीए अपडेट मिलेगा.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ता अपने डिवाइस को Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Verify Apps और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर लगातार नज़र रखती है. इन सुविधाओं को, उपयोगकर्ताओं को संभावित तौर पर नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है. Google Mobile Services वाले डिवाइसों पर, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं. डिवाइस को रूट करने वाले टूल, Google Play पर उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने वाली सुविधा, उपयोगकर्ताओं को रूट करने वाले किसी भी ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर चेतावनी देती है. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा के जोखिम का फ़ायदा उठाते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, Mediaserver जैसी प्रोसेस को मीडिया को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Alibaba Mobile Security Group के Baozeng Ding, Chengming Yang, Peng Xiao, Ning You, Yang Dong, Chao Yang, Yi Zhang, और Yang Song: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785
- चि ज़ैंग, मिंगजियन झोउ (@Mingjian_Zhou), चिआचीह वू (@chiachih_wu), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6789, CVE-2016-6790
- क्रिश्चियन सील: CVE-2016-6769
- Google के डेविड बेंजामिन और केनी रूट: CVE-2016-6767
- Tencent के KeenLab (@keen_lab) के डि शेन (@returnsme): CVE-2016-6776, CVE-2016-6787
- MS509Team के En He (@heeeeen4x): CVE-2016-6763
- Gengjia Chen (@chengjia4574), pjf of IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-6779, CVE-2016-6778, CVE-2016-8401, CVE-2016-8402, CVE-2016-8403, CVE-2016-8409, CVE-2016-8408, CVE-2016-8404
- Jianqiang Zhao (@jianqiangzhao) और Qihoo 360 Technology Co. Ltd के IceSword Lab के pjf: CVE-2016-6788, CVE-2016-6781, CVE-2016-6782, CVE-2016-8396
- लुबो ज़ैंग, टोंग लिन, युआन-त्सुंग लो, चिआचीह वू (@chiachih_wu), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
- Project Zero का मार्क ब्रैंड: CVE-2016-6772
- Michał Bednarski: CVE-2016-6770, CVE-2016-6774
- C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), ची झांग, चियाचीह वू (@chiachih_wu), और जूशियन जियांग: CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
- C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), चियाचीह वू (@chiachih_wu), और जूशियन जियांग: CVE-2016-6760
- C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), हैंशियांग वेन, चियाचीह वू (@chiachih_wu), और जूशियन जियांग: CVE-2016-6759
- Tesla Motors की प्रॉडक्ट सुरक्षा टीम के नेथन क्रैंडल (@natecray): CVE-2016-6915, CVE-2016-6916, CVE-2016-6917
- Nightwatch Cybersecurity Research (@nightwatchcyber): CVE-2016-5341
- Baidu X-Lab के पेंगफ़ेई डिंग (丁鹏飞), चेनफ़ू बाओ (包沉浮), और लेनक्स वेई (韦韬): CVE-2016-6755, CVE-2016-6756
- Trend के पीटर पाई (@heisecode) माइक्रो: CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
- क्विनलैब, tencent (腾讯科恩实验室) के @flanker_hqd: CVE-2016-8399, CVE-2016-8395
- Tencent (腾讯科恩实验室) के KeenLab के @flanker_hqd और मार्को ग्रैसी (@marcograss): CVE-2016-6768
- रिचर्ड शुपक: CVE-2016-5341
- IBM X-Force Research के सागी केडमी: CVE-2016-8393, CVE-2016-8394
- Trend Micro Inc. की मोबाइल खतरे की रिसर्च टीम के, Seven Shen (@lingtongshen): CVE-2016-6757
- Alibaba Inc. के वेईचाओ सुन (@sunblate): CVE-2016-6773
- Wenke Dou, Chi Zhang, Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2016-6765
- Trend Micro Inc. की मोबाइल थ्रेट रिस्पॉन्स टीम की वश वू (@wish_wu) (吴潍浠): CVE-2016-6704
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
- युआन-त्सुंग लो, शियाओडॉन्ग वांग, चियाची वू (@chiachih_wu), और C0RE टीम के जूशियन जियांग: CVE-2016-6777
- Tencent Security Platform Department के यूक्सियांग ली: CVE-2016-6771
- चेंग्दू सिक्योरिटी रिस्पॉन्स सेंटर, Qihoo 360 Technology Co. Ltd. के ज़े जिन (金哲): CVE-2016-6764, CVE-2016-6766
- ज़िनू हान, Chengdu Security Response Center of Qihoo 360 Technology Co. Ltd. की टीम से: CVE-2016-6762
इस सुरक्षा बुलेटिन में योगदान देने के लिए, Bottle Tech के MengLuo Gou (@idhyt3r), Yong Wang (王勇) (@ThomasKing2014), और Google के Zubin Mithra का भी धन्यवाद.
01-12-2016 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-12-2016 के पैच लेवल पर लागू होती है. इसमें समस्या की जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
CURL/LIBCURL में, रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
इस टेबल में, सुरक्षा से जुड़ी ऐसी समस्याएं शामिल हैं जिनका असर CURL और LIBCURL लाइब्रेरी पर पड़ता है. सबसे गंभीर समस्या यह हो सकती है कि मैन इन द मिडल अटैकर, किसी फ़र्ज़ी सर्टिफ़िकेट का इस्तेमाल करके, किसी खास प्रोसेस के दायरे में मनमुताबिक कोड चला सके. हमने इस समस्या को 'गंभीर' के तौर पर रेट किया है, क्योंकि हमलावर को फ़र्ज़ी सर्टिफ़िकेट की ज़रूरत होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-5419 | A-31271247 | ज़्यादा | सभी | 7.0 | 3 अगस्त, 2016 |
| CVE-2016-5420 | A-31271247 | ज़्यादा | सभी | 7.0 | 3 अगस्त, 2016 |
| CVE-2016-5421 | A-31271247 | ज़्यादा | सभी | 7.0 | 3 अगस्त, 2016 |
libziparchive में प्रिविलेज एस्कलेशन की समस्या
libziparchive लाइब्रेरी में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को ऐक्सेस लेवल वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6762 | A-31251826 [2] | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 अगस्त, 2016 |
टेलीफ़ोन सेवा में, सेवा में रुकावट की समस्या
टेलीफ़ोन सेवा में, सेवा के अस्वीकार होने की समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, डिवाइस को हैंग या रीबूट करने के लिए, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल कर सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इसकी वजह से स्थानीय स्तर पर सेवा को हमेशा के लिए बंद किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6763 | A-31530456 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 सितंबर, 2016 |
Mediaserver में सेवा में रुकावट की समस्या
Mediaserver में सेवा में रुकावट आने से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह की फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेटिंग दी गई है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6766 | A-31318219 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 सितंबर, 2016 |
| CVE-2016-6765 | A-31449945 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 7.0 | 13 सितंबर, 2016 |
| CVE-2016-6764 | A-31681434 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 22 सितंबर, 2016 |
| CVE-2016-6767 | A-31833604 | ज़्यादा | कोई नहीं* | 4.4.4 | सिर्फ़ Google के लिए |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
Framesequence लाइब्रेरी में, रिमोट कोड लागू करने की सुविधा से जुड़ी समस्या
Framesequence लाइब्रेरी में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी एक समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि Framesequence लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन में रिमोट कोड लागू होने की संभावना होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6768 | A-31631842 | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 सितंबर, 2016 |
Smart Lock में प्रिविलेज एस्कलेशन की समस्या
Smart Lock में, ऐक्सेस लेवल बढ़ाने की सुविधा से, नुकसान पहुंचाने वाला कोई स्थानीय उपयोगकर्ता, पिन के बिना Smart Lock की सेटिंग ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए डिवाइस को अनलॉक करना ज़रूरी है. साथ ही, यह भी ज़रूरी है कि उपयोगकर्ता ने आखिरी बार स्मार्ट लॉक सेटिंग पैनल को ऐक्सेस किया हो.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6769 | A-29055171 | काफ़ी हद तक ठीक है | कोई नहीं* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 मई, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
फ़्रेमवर्क एपीआई में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Framework API में, ऐक्सेस लेवल से ज़्यादा ऐक्सेस पाने की सुविधा से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को अपने ऐक्सेस लेवल से ज़्यादा सिस्टम फ़ंक्शन ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह पाबंदी वाली प्रोसेस पर, स्थानीय तौर पर पाबंदियों को बायपास करने की कोशिश है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6770 | A-30202228 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 जुलाई, 2016 |
टेलीफ़ोनी में प्रिविलेज एस्कलेशन की समस्या
Telephony में, ऐक्सेस लेवल बढ़ाने की सुविधा से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अपने ऐक्सेस लेवल से ज़्यादा सिस्टम फ़ंक्शन ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह पाबंदी वाली प्रोसेस को स्थानीय तौर पर बायपास करता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6771 | A-31566390 | काफ़ी हद तक ठीक है | सभी | 6.0, 6.0.1, 7.0 | 17 सितंबर, 2016 |
वाई-फ़ाई में प्रिविलेज एस्केलेशन की समस्या
वाई-फ़ाई में, ऐक्सेस लेवल बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को ऐक्सेस लेवल वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6772 | A-31856351 [2] | काफ़ी हद तक ठीक है | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 सितंबर, 2016 |
Mediaserver में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6773 | A-30481714 [2] | काफ़ी हद तक ठीक है | सभी | 6.0, 6.0.1, 7.0 | 27 जुलाई, 2016 |
Package Manager में, जानकारी ज़ाहिर होने से जुड़ी समस्या
Package Manager में जानकारी ज़ाहिर करने की जोखिम वाली समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को ऑपरेटिंग सिस्टम की सुरक्षा को बायपास करने में मदद मिल सकती है. यह सुरक्षा, ऐप्लिकेशन के डेटा को दूसरे ऐप्लिकेशन से अलग करती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को समझना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6774 | A-31251489 | काफ़ी हद तक ठीक है | सभी | 7.0 | 29 अगस्त, 2016 |
05-12-2016 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-12-2016 के पैच लेवल पर लागू होती हैं. इसमें समस्या की जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
कर्नेल मेमोरी सबसिस्टम में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम की आशंका
कर्नेल मेमोरी सबसिस्टम में, विशेष सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-4794 | A-31596597 अपस्ट्रीम कर्नेल [2] |
सबसे अहम | Pixel C, Pixel, Pixel XL | 17 अप्रैल, 2016 |
| CVE-2016-5195 | A-32141528 अपस्ट्रीम कर्नेल [2] |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 12 अक्टूबर, 2016 |
NVIDIA जीपीयू ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
NVIDIA जीपीयू ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमजोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6775 | A-31222873* N-CVE-2016-6775 |
सबसे अहम | Nexus 9 | 25 अगस्त, 2016 |
| CVE-2016-6776 | A-31680980* N-CVE-2016-6776 |
सबसे अहम | Nexus 9 | 22 सितंबर, 2016 |
| CVE-2016-6777 | A-31910462* N-CVE-2016-6777 |
सबसे अहम | Nexus 9 | 3 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल में प्रिविलेज एस्केलेशन की समस्या
कर्नेल में प्रिविलेज एस्केलेशन की समस्या होने पर, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-8966 | A-31435731 अपस्ट्रीम कर्नेल |
सबसे अहम | कोई नहीं* | 10 सितंबर, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
NVIDIA वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
NVIDIA वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6915 | A-31471161*
N-CVE-2016-6915 |
सबसे अहम | Nexus 9 | 13 सितंबर, 2016 |
| CVE-2016-6916 | A-32072350*
N-CVE-2016-6916 |
सबसे अहम | Nexus 9, Pixel C | 13 सितंबर, 2016 |
| CVE-2016-6917 | A-32072253*
N-CVE-2016-6917 |
सबसे अहम | Nexus 9 | 13 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल ION ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
कर्नेल ION ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-9120 | A-31568617 अपस्ट्रीम कर्नेल |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player | 16 सितंबर, 2016 |
Qualcomm के कॉम्पोनेंट में जोखिम की आशंकाएं
यहां दी गई कमजोरियों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm AMSS के नवंबर 2015 के सुरक्षा बुलेटिन में दी गई है.
| CVE | रेफ़रंस | गंभीरता* | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8411 | A-31805216** | सबसे अहम | Nexus 6, Nexus 6P, Android One | Qualcomm इंटरनल |
* इन जोखिमों की गंभीरता की रेटिंग, वेंडर ने तय की है.
** इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस की जोखिम
कर्नेल फ़ाइल सिस्टम में, ऐक्सेस लेवल की सुविधा से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, ऑपरेटिंग सिस्टम की सुरक्षा को बायपास कर सकता है. इस सुरक्षा की मदद से, ऐप्लिकेशन के डेटा को अन्य ऐप्लिकेशन से अलग रखा जाता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-4014 | A-31252187 अपस्ट्रीम कर्नेल |
ज़्यादा | Nexus 6, Nexus Player | 10 जून, 2014 |
कर्नेल में प्रिविलेज एस्केलेशन की समस्या
कर्नेल में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी अलग समस्या का फ़ायदा उठाना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-8967 | A-31703084 अपस्ट्रीम कर्नेल |
ज़्यादा | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL | 8 जनवरी, 2015 |
HTC साउंड कोडेक ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
HTC साउंड कोडेक ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6778 | A-31384646* | ज़्यादा | Nexus 9 | 25 फ़रवरी, 2016 |
| CVE-2016-6779 | A-31386004* | ज़्यादा | Nexus 9 | 25 फ़रवरी, 2016 |
| CVE-2016-6780 | A-31251496* | ज़्यादा | Nexus 9 | 30 अगस्त, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
MediaTek ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
MediaTek ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6492 | A-28175122 MT-ALPS02696413 |
ज़्यादा | कोई नहीं* | 11 अप्रैल, 2016 |
| CVE-2016-6781 | A-31095175 MT-ALPS02943455 |
ज़्यादा | कोई नहीं* | 22 अगस्त, 2016 |
| CVE-2016-6782 | A-31224389 MT-ALPS02943506 |
ज़्यादा | कोई नहीं* | 24 अगस्त, 2016 |
| CVE-2016-6783 | A-31350044 MT-ALPS02943437 |
ज़्यादा | कोई नहीं* | 6 सितंबर, 2016 |
| CVE-2016-6784 | A-31350755 MT-ALPS02961424 |
ज़्यादा | कोई नहीं* | 6 सितंबर, 2016 |
| CVE-2016-6785 | A-31748056 MT-ALPS02961400 |
ज़्यादा | कोई नहीं* | 25 सितंबर, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
Qualcomm मीडिया कोडेक में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm मीडिया कोडेक में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को, विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6761 | A-29421682*
QC-CR#1055792 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 16 जून, 2016 |
| CVE-2016-6760 | A-29617572*
QC-CR#1055783 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 23 जून, 2016 |
| CVE-2016-6759 | A-29982686*
QC-CR#1055766 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 4 जुलाई, 2016 |
| CVE-2016-6758 | A-30148882*
QC-CR#1071731 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 13 जुलाई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm कैमरा ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Qualcomm कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6755 | A-30740545 QC-CR#1065916 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 3 अगस्त, 2016 |
कर्नेल परफ़ॉर्मेंस सबसिस्टम में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम
कर्नेल की परफ़ॉर्मेंस वाले सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी कमज़ोरी की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में कोई भी कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6786 | A-30955111 अपस्ट्रीम कर्नेल | ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 अगस्त, 2016 |
| CVE-2016-6787 | A-31095224 अपस्ट्रीम कर्नेल | ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 22 अगस्त, 2016 |
MediaTek I2C ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
MediaTek I2C ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6788 | A-31224428 MT-ALPS02943467 |
ज़्यादा | कोई नहीं* | 24 अगस्त, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
NVIDIA libomx लाइब्रेरी में प्रिविलेज एस्कलेशन की समस्या
NVIDIA libomx लाइब्रेरी (libnvomx) में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6789 | A-31251973*
N-CVE-2016-6789 |
ज़्यादा | Pixel C | 29 अगस्त, 2016 |
| CVE-2016-6790 | A-31251628*
N-CVE-2016-6790 |
ज़्यादा | Pixel C | 28 अगस्त, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm साउंड ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Qualcomm साउंड ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6791 | A-31252384 QC-CR#1071809 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 अगस्त, 2016 |
| CVE-2016-8391 | A-31253255 QC-CR#1072166 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 अगस्त, 2016 |
| CVE-2016-8392 | A-31385862 QC-CR#1073136 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 8 सितंबर, 2016 |
कर्नेल सुरक्षा सबसिस्टम में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम
कर्नेल सिक्योरिटी सबसिस्टम में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-7872 | A-31253168 अपस्ट्रीम कर्नेल |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | 31 अगस्त, 2016 |
Synaptics टचस्क्रीन ड्राइवर में, विशेषाधिकार हासिल करने की सुविधा से जुड़ी जोखिम
Synaptics टचस्क्रीन ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8393 | A-31911920* | ज़्यादा | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 8 सितंबर, 2016 |
| CVE-2016-8394 | A-31913197* | ज़्यादा | Nexus 9, Android One | 8 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Broadcom वाई-फ़ाई ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Broadcom Wi-Fi ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9909 | A-31676542 B-RB#26684 |
ज़्यादा | कोई नहीं* | 21 सितंबर, 2016 |
| CVE-2014-9910 | A-31746399 B-RB#26710 |
ज़्यादा | कोई नहीं* | 26 सितंबर, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
MediaTek वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
MediaTek वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8396 | A-31249105 | ज़्यादा | कोई नहीं* | 26 अगस्त, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
NVIDIA वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
NVIDIA वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8397 | A-31385953* N-CVE-2016-8397 |
ज़्यादा | Nexus 9 | 8 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
जीपीएस में सेवा में रुकावट की समस्या
Qualcomm GPS कॉम्पोनेंट में, सेवा अस्वीकार करने से जुड़ी एक कमज़ोरी है. इसकी मदद से, डिवाइस को रिमोट से हैक करके उसे हैंग किया जा सकता है या रीबूट किया जा सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसकी वजह से कुछ समय के लिए, रिमोट से सेवा में रुकावट आ सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-5341 | A-31470303* | ज़्यादा | Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 21 जून, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
NVIDIA कैमरा ड्राइवर में, सेवा में रुकावट की समस्या
NVIDIA कैमरा ड्राइवर में, सेवा अस्वीकार करने की जोखिम वाली गड़बड़ी की वजह से, हमलावर डिवाइस पर सेवा अस्वीकार करने की समस्या को हमेशा के लिए चालू कर सकता है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है. इस समस्या को 'ज़्यादा' रेटिंग दी गई है, क्योंकि हो सकता है कि स्थानीय स्तर पर सेवा को हमेशा के लिए बंद कर दिया जाए.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8395 | A-31403040*
N-CVE-2016-8395 |
ज़्यादा | Pixel C | 9 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल नेटवर्किंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
कर्नेल नेटवर्किंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है. साथ ही, मौजूदा कंपाइलर ऑप्टिमाइज़ेशन, संवेदनशील कोड के ऐक्सेस पर पाबंदी लगाते हैं.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8399 | A-31349935* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 5 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm कॉम्पोनेंट में, जानकारी ज़ाहिर होने की जोखिम
Qualcomm के कॉम्पोनेंट में, कैमरा ड्राइवर और वीडियो ड्राइवर के साथ-साथ जानकारी ज़ाहिर करने की एक कमज़ोरी है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को समझना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6756 | A-29464815 QC-CR#1042068 [2] |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 17 जून, 2016 |
| CVE-2016-6757 | A-30148242 QC-CR#1052821 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 13 जुलाई, 2016 |
NVIDIA librm लाइब्रेरी में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
NVIDIA librm लाइब्रेरी (libnvrm) में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8400 | A-31251599*
N-CVE-2016-8400 |
काफ़ी हद तक ठीक है | Pixel C | 29 अगस्त, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल के कॉम्पोनेंट में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
ION सबसिस्टम, बाइंडर, यूएसबी ड्राइवर, और नेटवर्किंग सबसिस्टम जैसे कर्नेल कॉम्पोनेंट में, जानकारी ज़ाहिर करने की एक कमज़ोरी है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की सुविधा मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8401 | A-31494725* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 सितंबर, 2016 |
| CVE-2016-8402 | A-31495231* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 सितंबर, 2016 |
| CVE-2016-8403 | A-31495348* | काफ़ी हद तक ठीक है | Nexus 9 | 13 सितंबर, 2016 |
| CVE-2016-8404 | A-31496950* | काफ़ी हद तक ठीक है | Nexus 9 | 13 सितंबर, 2016 |
| CVE-2016-8405 | A-31651010* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 21 सितंबर, 2016 |
| CVE-2016-8406 | A-31796940* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 27 सितंबर, 2016 |
| CVE-2016-8407 | A-31802656* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
NVIDIA वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
NVIDIA वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8408 | A-31496571*
N-CVE-2016-8408 |
काफ़ी हद तक ठीक है | Nexus 9 | 13 सितंबर, 2016 |
| CVE-2016-8409 | A-31495687*
N-CVE-2016-8409 |
काफ़ी हद तक ठीक है | Nexus 9 | 13 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm साउंड ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी समस्या
Qualcomm साउंड ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8410 | A-31498403 QC-CR#987010 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One | सिर्फ़ Google के लिए |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.
- 01-12-2016 या उसके बाद के सिक्योरिटी पैच लेवल, 01-12-2016 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-12-2016 या उसके बाद के सिक्योरिटी पैच लेवल, 05-12-2016 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2016-12-01]
- [ro.build.version.security_patch]:[2016-12-05]
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 1 दिसंबर, 2016 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए.
- जिन डिवाइसों में 5 दिसंबर, 2016 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. मुझे कैसे पता चलेगा कि हर समस्या का असर किन Google डिवाइसों पर पड़ा है?
01-12-2016 और 05-12-2016 के सुरक्षा से जुड़ी समस्याओं की जानकारी वाले सेक्शन में, हर टेबल में एक अपडेट किए गए Google डिवाइस कॉलम होता है. इसमें, हर समस्या के लिए अपडेट किए गए उन Google डिवाइसों की जानकारी होती है जिन पर असर पड़ा है. इस कॉलम में कुछ विकल्प होते हैं:
- सभी Google डिवाइस: अगर कोई समस्या सभी और Pixel डिवाइसों पर असर डालती है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "सभी" दिखेगा. "सभी" में ये डिवाइस शामिल हैं: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, और Pixel XL.
- कुछ Google डिवाइस: अगर किसी समस्या का असर सभी Google डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Google डिवाइसों कॉलम में दी गई है.
- कोई Google डिवाइस नहीं: अगर Android 7.0 पर काम करने वाले किसी भी Google डिवाइस पर इस समस्या का असर नहीं पड़ा है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" दिखेगा.
4. रेफ़रंस कॉलम में मौजूद एंट्री किससे मैप होती हैं?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है. ये प्रीफ़िक्स इस तरह मैप होते हैं:
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
संशोधन
- 05 दिसंबर, 2016: बुलेटिन पब्लिश किया गया.
- 07 दिसंबर, 2016: AOSP के लिंक शामिल करने के लिए बुलेटिन में बदलाव किया गया. साथ ही, CVE-2016-6915, CVE-2
- 21 दिसंबर, 2016: CVE-2016-8411 के ब्यौरे और अक्सर पूछे जाने वाले सवालों और उनके जवाबों में टाइपिंग की गलतियां ठीक की गईं.