05 दिसंबर 2016 को प्रकाशित | 21 दिसंबर 2016 को अपडेट किया गया
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने ओवर-द-एयर (OTA) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। Google डिवाइस फ़र्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 05 दिसंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
भागीदारों को 07 नवंबर, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपोजिटरी में जारी किए गए हैं और इस बुलेटिन से जुड़े हुए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर डिवाइस-विशिष्ट कोड में गंभीर सुरक्षा भेद्यताएं हैं जो कर्नेल के संदर्भ में मनमाने ढंग से कोड निष्पादन को सक्षम कर सकती हैं, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है। . गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेवा सुरक्षा जैसे कि SafeNet पर विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाओं
- इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं जो सभी Android उपकरणों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-12-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-12-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-12-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-12-01 और 2016-12-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित Google उपकरणों को 05 दिसंबर, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।
Android और Google सेवा में कमी
यह Android सुरक्षा प्लेटफ़ॉर्म और सेवा सुरक्षा, जैसे कि SafetyNet द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
- जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- बाओज़ेंग डिंग, चेंगमिंग यांग, पेंग जिओ, निंग यू, यांग डोंग, चाओ यांग, यी झांग, और अलीबाबा मोबाइल सिक्योरिटी ग्रुप के यांग सॉन्ग: सीवीई-2016-6783, सीवीई-2016-6784, सीवीई-2016-6785
- ची झांग , मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6789, CVE-2016-6790
- क्रिश्चियन सील: सीवीई-2016-6769
- डेविड बेंजामिन और गूगल के केनी रूट: CVE-2016-6767
- कीनलैब ( @keen_lab ) के डि शेन ( @returnsme ), Tencent: CVE-2016-6776, CVE-2016-6787
- MS509Team के En He ( @heeeeen4x ) : CVE-2016-6763
- गेंगजिया चेन ( @ चेंगजिया 4574 ), आइसस्वॉर्ड लैब के पीजेएफ, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-6779, सीवीई-2016-6778, सीवीई-2016-8401, सीवीई-2016-8402, सीवीई-2016-8403, सीवीई-2016-8409, सीवीई-2016-8408, सीवीई-2016-8404
- जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के पीजेएफ, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-6788, सीवीई-2016-6781, सीवीई-2016-6782, सीवीई-2016-8396
- लुबो झांग , टोंग लिन , युआन-त्सुंग लो , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
- प्रोजेक्ट जीरो का मार्क ब्रांड: CVE-2016-6772
- माइकल बेडनार्स्की: सीवीई-2016-6770, सीवीई-2016-6774
- मिंगजियान झोउ ( @Mingjian_Zhou ), ची झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
- मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6760
- मिंगजियान झोउ ( @Mingjian_Zhou ), हैंक्सियांग वेन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6759
- टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैंडल ( @natecray ): CVE-2016-6915, CVE-2016-6916, CVE-2016-6917
- नाइटवॉच साइबर सुरक्षा अनुसंधान ( @nightwatchcyber ): सीवीई-2016-5341
- पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब के लेनक्स वेई (韦韬): सीवीई-2016-6755, सीवीई-2016-6756
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
- किडन हे (何淇丹) ( @flanker_hqd ) कीनलैब, Tencent (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
- किडन हे (何淇丹) ( @flanker_hqd ) और कीनलैब के मार्को ग्रासी ( @marcograss ), Tencent (腾讯科恩实验室): CVE-2016-6768
- रिचर्ड शुपक: सीवीई-2016-5341
- IBM X-Force Research की Sagi Kedmi: CVE-2016-8393, CVE-2016-8394
- मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ), ट्रेंड माइक्रो इंक.: CVE-2016-6757
- अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-6773
- वेन्के डू , ची झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-6765
- मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो इंक. के विश वू ( @wish_wu ) (吴潍浠) : CVE-2016-6704
- युआन-त्सुंग लो , टोंग लिन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
- युआन-त्सुंग लो , ज़ियाओडोंग वांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6777
- Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के युक्सियांग ली: CVE-2016-6771
- चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के झे जिन (金哲): सीवीई-2016-6764, सीवीई-2016-6766
- Qihoo 360 Technology Co. Ltd. के चेंगदू सुरक्षा प्रतिक्रिया केंद्र के ज़िनुओ हान : CVE-2016-6762
इस सुरक्षा बुलेटिन में उनके योगदान के लिए बॉटल टेक, योंग वांग (王勇) ( @ThomasKing2014 ), और Google के जुबिन मिथरा के मेंगलुओ गौ ( @idhyt3r ) को धन्यवाद देने के लिए अतिरिक्त धन्यवाद।
2016-12-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
CURL/LIBCURL में रिमोट कोड निष्पादन भेद्यता
तालिका में CURL और LIBCURL लाइब्रेरी को प्रभावित करने वाली सुरक्षा भेद्यताएं हैं। सबसे गंभीर समस्या एक जाली प्रमाणपत्र का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए एक मैन-इन-द-बीच हमलावर को सक्षम कर सकती है। हमलावर को जाली प्रमाणपत्र की आवश्यकता होने के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-5419 | ए-31271247 | उच्च | सभी | 7.0 | अगस्त 3, 2016 |
| सीवीई-2016-5420 | ए-31271247 | उच्च | सभी | 7.0 | अगस्त 3, 2016 |
| सीवीई-2016-5421 | ए-31271247 | उच्च | सभी | 7.0 | अगस्त 3, 2016 |
libziparchive में विशेषाधिकार भेद्यता का उन्नयन
libziparchive लाइब्रेरी में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6762 | ए-31251826 [ 2 ] | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | अगस्त 28, 2016 |
टेलीफोनी में सेवा भेद्यता से इनकार
टेलीफ़ोनी में सेवा सुरक्षाछिद्र की अस्वीकृति एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को हैंग या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। स्थानीय रूप से सेवा से इनकार करने की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6763 | ए-31530456 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 12, 2016 |
Mediaserver में सेवा भेद्यता से इनकार
Mediaserver में सेवा सुरक्षाछिद्र का इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए सक्षम कर सकता है जिससे डिवाइस हैंग या रीबूट हो सके। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6766 | ए-31318219 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 5, 2016 |
| सीवीई-2016-6765 | ए-31449945 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 7.0 | सितम्बर 13, 2016 |
| सीवीई-2016-6764 | ए-31681434 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 22, 2016 |
| सीवीई-2016-6767 | ए-31833604 | उच्च | कोई भी नहीं* | 4.4.4 | गूगल आंतरिक |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
Framesequence लाइब्रेरी में रिमोट कोड एक्ज़ीक्यूशन भेद्यता
Framesequence लायब्रेरी में एक दूरस्थ कोड निष्पादन भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक हमलावर को सक्षम कर सकती है जो एक अप्रतिबंधित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित कर सकता है। फ़्रेम्सक्वेंस लाइब्रेरी का उपयोग करने वाले किसी एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6768 | ए-31631842 | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 19, 2016 |
स्मार्ट लॉक में विशेषाधिकार भेद्यता का उन्नयन
स्मार्ट लॉक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को पिन के बिना स्मार्ट लॉक सेटिंग्स तक पहुंचने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक अनलॉक डिवाइस तक भौतिक पहुंच की आवश्यकता होती है जहां स्मार्ट लॉक उपयोगकर्ता द्वारा एक्सेस की गई अंतिम सेटिंग फलक थी।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6769 | ए-29055171 | संतुलित | कोई भी नहीं* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 मई 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अपने एक्सेस स्तर से परे सिस्टम फ़ंक्शन तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह एक सीमित प्रक्रिया पर प्रतिबंधों का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6770 | ए-30202228 | संतुलित | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | जुलाई 16, 2016 |
टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन
टेलीफ़ोनी में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अपने एक्सेस स्तर से परे सिस्टम फ़ंक्शंस तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह एक सीमित प्रक्रिया पर प्रतिबंधों का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6771 | ए-31566390 | संतुलित | सभी | 6.0, 6.0.1, 7.0 | सितम्बर 17, 2016 |
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन
वाई-फाई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6772 | ए-31856351 [ 2 ] | संतुलित | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 30, 2016 |
Mediaserver में सूचना प्रकटीकरण भेद्यता
Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6773 | ए-30481714 [ 2 ] | संतुलित | सभी | 6.0, 6.0.1, 7.0 | जुलाई 27, 2016 |
पैकेज प्रबंधक में सूचना प्रकटीकरण भेद्यता
पैकेज मैनेजर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | अपडेट किया गया एओएसपी संस्करण | तारीख की सूचना दी |
|---|---|---|---|---|---|
| सीवीई-2016-6774 | ए-31251489 | संतुलित | सभी | 7.0 | अगस्त 29, 2016 |
2016-12-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-12-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-4794 | ए-31596597 अपस्ट्रीम कर्नेल [ 2 ] | नाजुक | पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल | अप्रैल 17, 2016 |
| सीवीई-2016-5195 | ए-32141528 अपस्ट्रीम कर्नेल [ 2 ] | नाजुक | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | अक्टूबर 12, 2016 |
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6775 | ए-31222873* एन-सीवीई-2016-6775 | नाजुक | नेक्सस 9 | अगस्त 25, 2016 |
| सीवीई-2016-6776 | ए-31680980* एन-सीवीई-2016-6776 | नाजुक | नेक्सस 9 | सितम्बर 22, 2016 |
| सीवीई-2016-6777 | ए-31910462* एन-सीवीई-2016-6777 | नाजुक | नेक्सस 9 | अक्टूबर 3, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8966 | ए-31435731 अपस्ट्रीम कर्नेल | नाजुक | कोई भी नहीं* | सितम्बर 10, 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6915 | ए-31471161* एन-सीवीई-2016-6915 | नाजुक | नेक्सस 9 | सितम्बर 13, 2016 |
| सीवीई-2016-6916 | ए-32072350* एन-सीवीई-2016-6916 | नाजुक | नेक्सस 9, पिक्सेल सी | सितम्बर 13, 2016 |
| सीवीई-2016-6917 | ए-32072253* एन-सीवीई-2016-6917 | नाजुक | नेक्सस 9 | सितम्बर 13, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल ION ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल ION ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-9120 | ए-31568617 अपस्ट्रीम कर्नेल | नाजुक | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player | सितम्बर 16, 2016 |
क्वालकॉम घटकों में कमजोरियां
निम्नलिखित भेद्यताएं क्वालकॉम घटकों को प्रभावित करती हैं और क्वालकॉम एएमएसएस नवंबर 2015 सुरक्षा बुलेटिन में और विस्तार से वर्णित किया गया है।
| सीवीई | संदर्भ | तीव्रता* | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8411 | ए-31805216** | नाजुक | नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | क्वालकॉम आंतरिक |
* इन कमजोरियों के लिए गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।
** इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2014-4014 | ए-31252187 अपस्ट्रीम कर्नेल | उच्च | नेक्सस 6, नेक्सस प्लेयर | जून 10, 2014 |
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक अलग भेद्यता के शोषण की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-8967 | ए-31703084 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL | जनवरी 8, 2015 |
HTC ध्वनि कोडेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
HTC ध्वनि कोडेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6778 | ए-31384646* | उच्च | नेक्सस 9 | फरवरी 25, 2016 |
| सीवीई-2016-6779 | ए-31386004* | उच्च | नेक्सस 9 | फरवरी 25, 2016 |
| सीवीई-2016-6780 | ए-31251496* | उच्च | नेक्सस 9 | अगस्त 30, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6492 | ए-28175122 एमटी-एएलपीएस02696413 | उच्च | कोई भी नहीं* | अप्रैल 11, 2016 |
| सीवीई-2016-6781 | ए-31095175 एमटी-एएलपीएस02943455 | उच्च | कोई भी नहीं* | अगस्त 22, 2016 |
| सीवीई-2016-6782 | ए-31224389 एमटी-एएलपीएस02943506 | उच्च | कोई भी नहीं* | अगस्त 24, 2016 |
| सीवीई-2016-6783 | ए-31350044 एमटी-एएलपीएस02943437 | उच्च | कोई भी नहीं* | सितम्बर 6, 2016 |
| सीवीई-2016-6784 | ए-31350755 एमटी-एएलपीएस02961424 | उच्च | कोई भी नहीं* | सितम्बर 6, 2016 |
| सीवीई-2016-6785 | ए-31748056 एमटी-एएलपीएस02961400 | उच्च | कोई भी नहीं* | सितम्बर 25, 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6761 | ए-29421682* क्यूसी-सीआर#1055792 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | जून 16, 2016 |
| सीवीई-2016-6760 | ए-29617572* क्यूसी-सीआर#1055783 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | जून 23, 2016 |
| सीवीई-2016-6759 | ए-29982686* क्यूसी-सीआर#1055766 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | जुलाई 4, 2016 |
| सीवीई-2016-6758 | ए-30148882* क्यूसी-सीआर#1071731 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | जुलाई 13, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6755 | ए-30740545 क्यूसी-सीआर#1065916 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | अगस्त 3, 2016 |
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6786 | ए-30955111 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | अगस्त 18, 2016 |
| सीवीई-2016-6787 | A-31095224 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | अगस्त 22, 2016 |
MediaTek I2C ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
MediaTek I2C ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6788 | ए-31224428 एमटी-एएलपीएस02943467 | उच्च | कोई भी नहीं* | अगस्त 24, 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
NVIDIA libomx पुस्तकालय में विशेषाधिकार भेद्यता का उन्नयन
NVIDIA libomx लाइब्रेरी (libnvomx) में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6789 | ए-31251973* एन-सीवीई-2016-6789 | उच्च | पिक्सेल सी | अगस्त 29, 2016 |
| सीवीई-2016-6790 | ए-31251628* एन-सीवीई-2016-6790 | उच्च | पिक्सेल सी | अगस्त 28, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6791 | ए-31252384 क्यूसी-सीआर#1071809 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | अगस्त 31, 2016 |
| सीवीई-2016-8391 | ए-31253255 क्यूसी-सीआर#1072166 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | अगस्त 31, 2016 |
| सीवीई-2016-8392 | ए-31385862 क्यूसी-सीआर#1073136 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | सितम्बर 8, 2016 |
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2015-7872 | ए-31253168 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel, Pixel XL | अगस्त 31, 2016 |
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
Synaptics टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8393 | ए-31911920* | उच्च | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | सितम्बर 8, 2016 |
| सीवीई-2016-8394 | ए-31913197* | उच्च | नेक्सस 9, एंड्रॉइड वन | सितम्बर 8, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2014-9909 | ए-31676542 बी-आरबी#26684 | उच्च | कोई भी नहीं* | सितम्बर 21, 2016 |
| सीवीई-2014-9910 | ए-31746399 बी-आरबी#26710 | उच्च | कोई भी नहीं* | सितम्बर 26, 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
मीडियाटेक वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता
मीडियाटेक वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8396 | ए-31249105 | उच्च | कोई भी नहीं* | अगस्त 26, 2016 |
* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8397 | ए-31385953* एन-सीवीई-2016-8397 | उच्च | नेक्सस 9 | सितम्बर 8, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
जीपीएस में सेवा भेद्यता से इनकार
क्वालकॉम जीपीएस घटक में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को डिवाइस को हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के अस्थायी दूरस्थ इनकार की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-5341 | ए-31470303* | उच्च | Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | जून 21, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
NVIDIA कैमरा ड्राइवर में सेवा भेद्यता से इनकार
NVIDIA कैमरा ड्राइवर में सेवा भेद्यता से इनकार एक हमलावर को स्थानीय स्थायी सेवा से वंचित करने के लिए सक्षम कर सकता है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है। स्थानीय रूप से सेवा से इनकार करने की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8395 | ए-31403040* एन-सीवीई-2016-8395 | उच्च | पिक्सेल सी | सितम्बर 9, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान कंपाइलर ऑप्टिमाइज़ेशन कमजोर कोड तक पहुंच को प्रतिबंधित करता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8399 | ए-31349935* | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | सितम्बर 5, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता
कैमरा ड्राइवर और वीडियो ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-6756 | ए-29464815 क्यूसी-सीआर#1042068 [ 2 ] | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | जून 17, 2016 |
| सीवीई-2016-6757 | ए-30148242 क्यूसी-सीआर#1052821 | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, पिक्सेल, पिक्सेल XL | जुलाई 13, 2016 |
NVIDIA librm पुस्तकालय में सूचना प्रकटीकरण भेद्यता
NVIDIA librm लाइब्रेरी (libnvrm) में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8400 | ए-31251599* एन-सीवीई-2016-8400 | संतुलित | पिक्सेल सी | अगस्त 29, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता
आईओएन सबसिस्टम, बाइंडर, यूएसबी ड्राइवर और नेटवर्किंग सबसिस्टम सहित कर्नेल घटकों में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8401 | ए-31494725* | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | सितम्बर 13, 2016 |
| सीवीई-2016-8402 | ए-31495231* | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | सितम्बर 13, 2016 |
| सीवीई-2016-8403 | ए-31495348* | संतुलित | नेक्सस 9 | सितम्बर 13, 2016 |
| सीवीई-2016-8404 | ए-31496950* | संतुलित | नेक्सस 9 | सितम्बर 13, 2016 |
| सीवीई-2016-8405 | ए-31651010* | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | सितम्बर 21, 2016 |
| सीवीई-2016-8406 | ए-31796940* | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | सितम्बर 27, 2016 |
| सीवीई-2016-8407 | ए-31802656* | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | सितम्बर 28, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8408 | ए-31496571* एन-सीवीई-2016-8408 | संतुलित | नेक्सस 9 | सितम्बर 13, 2016 |
| सीवीई-2016-8409 | ए-31495687* एन-सीवीई-2016-8409 | संतुलित | नेक्सस 9 | सितम्बर 13, 2016 |
* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
क्वालकॉम ध्वनि चालक में सूचना प्रकटीकरण भेद्यता
क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अपडेट किए गए Google डिवाइस | तारीख की सूचना दी |
|---|---|---|---|---|
| सीवीई-2016-8410 | ए-31498403 क्यूसी-सीआर#987010 | संतुलित | Nexus 5X, Nexus 6, Nexus 6P, Android One | गूगल आंतरिक |
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देशों को पढ़ें।
- 2016-12-01 या बाद के सुरक्षा पैच स्तर 2016-12-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
- 2016-12-05 या बाद के सुरक्षा पैच स्तर 2016-12-05 के सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2016-12-01]
- [ro.build.version.security_patch]:[2016-12-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- 1 दिसंबर, 2016 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
- जो डिवाइस 5 दिसंबर, 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।
भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।
3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?
2016-12-01 और 2016-12-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेट किया गया Google डिवाइस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित Google उपकरणों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी Google डिवाइस : यदि कोई समस्या सभी और पिक्सेल डिवाइस को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "सभी" निम्नलिखित समर्थित उपकरणों को इनकैप्सुलेट करता है: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel और Pixel XL।
- कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
- कोई Google उपकरण नहीं : यदि Android 7.0 चलाने वाले कोई भी Google उपकरण समस्या से प्रभावित नहीं हैं, तो अद्यतन किए गए Google उपकरण स्तंभ में तालिका में "कोई नहीं" होगा।
4. संदर्भ कॉलम में प्रविष्टियाँ किस लिए मैप करती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग निम्नानुसार मानचित्र करते हैं:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| क्यूसी- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
संशोधन
- 05 दिसंबर 2016: बुलेटिन प्रकाशित।
- 07 दिसंबर, 2016: सीवीई-2016-6915, सीवीई-2016-6916 और सीवीई-2016-6917 के लिए एओएसपी लिंक और अपडेटेड एट्रिब्यूशन को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
- 21 दिसंबर 2016: सीवीई-2016-8411 विवरण और सामान्य प्रश्न और उत्तर में त्रुटियों को ठीक किया गया।