Google अश्वेत समुदायों के लिए नस्लीय इक्विटी को आगे बढ़ाने के लिए प्रतिबद्ध है। देखो कैसे।
इस पेज का अनुवाद Cloud Translation API से किया गया है.
Switch to English

नेक्सस सिक्योरिटी बुलेटिन - दिसंबर 2015

प्रकाशित 07 दिसंबर, 2015 | 7 मार्च 2016 को अपडेट किया गया

हमने अपने Android सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अद्यतन जारी किया है। Nexus फर्मवेयर चित्र Google डेवलपर साइट पर भी जारी किए गए हैं। 1 दिसंबर 2015 के सुरक्षा पैच स्तर के साथ LMY48Z या बाद में और एंड्रॉइड 6.0 बनाता है या बाद में इन मुद्दों को संबोधित करता है। अधिक जानकारी के लिए सामान्य प्रश्न और उत्तर अनुभाग देखें।

भागीदारों को इन मुद्दों के बारे में 2 नवंबर, 2015 या उससे पहले के अपडेट के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी किया गया है।

इन मुद्दों में से सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय कई तरीकों जैसे ईमेल, वेब ब्राउज़िंग और एमएमएस के माध्यम से एक प्रभावित डिवाइस पर दूरस्थ कोड निष्पादन को सक्षम कर सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का दोहन संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेवा सुरक्षा जैसे सुरक्षा से संबंधित विवरणों के लिए मिटिगेशन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं। हम सभी ग्राहकों को अपने उपकरणों के लिए इन अद्यतनों को स्वीकार करने के लिए प्रोत्साहित करते हैं।

mitigations

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सर्विस प्रोटेक्शन जैसे सेफ्टीनेट द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सिक्योरिटी टीम वेरिफाइ एप्स और सेफ्टीनेट के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है जो संभावित हानिकारक अनुप्रयोगों के बारे में चेतावनी देगा। Google Play के भीतर डिवाइस रूटिंग टूल निषिद्ध हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, सत्यापन एप्लिकेशन डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित दुर्भावनापूर्ण एप्लिकेशनों की पहचान और ब्लॉक स्थापना के प्रयासों को सत्यापित करें जो एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो वेरिफाई ऐप्स उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा कि उचित है, Google Hangouts और मैसेंजर एप्लिकेशन मीडिया को मध्यस्थता जैसी प्रक्रियाओं से स्वचालित रूप से पारित नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहेंगे:

  • अभिषेक आर्य, ओलिवर चांग, ​​और गूगल क्रोम सिक्योरिटी टीम के मार्टिन बारबेला: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 , CVE-2015-6634
  • कीनटेम ( @ K33nTeam ) के फ्लेंकर ( @flanker_hqd ): CVE-2015-6620
  • Qihoo 360 प्रौद्योगिकी Co.Ltd के ग्वांग गोंग ( G广) ( @oldfresher , higongguang@gmail.com): CVE-2015-6626
  • एम्बरमित्र लिमिटेड के मार्क कार्टर ( @hanpingchinese ): CVE-2015-6630
  • मिचेल बेडनार्स्की ( https://github.com/michalbednarski ): CVE-2015-6621
  • Google प्रोजेक्ट ज़ीरो का नताली सिलवानोविच: CVE-2015-6616
  • पीटर माइक्रो ऑफ ट्रेंड माइक्रो: सीवीई-2015-6616, सीवीई-2015-6628
  • Qidan He ( @flanker_hqd ) और मार्को ग्रासी ( @marcograss ) KeenTeam ( @ K33nTeam ): CVE-2015-6622
  • त्ज़ु-यिन (नीना) ताई: सीवीई-2015-6627
  • Joacquina Rinaudo ( @xeroxnir ) Fundación में Programa STIC के डॉ। मैनुअल सैडॉस्की, ब्यूनस आयर्स, अर्जेंटीना: CVE-2015-6631
  • Baidu X- टीम की वांग्ताओ (नियोबाइट): CVE-2015-6626

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं जो 2015-12-01 पैच स्तर पर लागू होती हैं। इस मुद्दे का विवरण, एक गंभीरता का औचित्य और सीवीई के साथ एक तालिका, संबंधित बग, गंभीरता, अद्यतन संस्करण और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम AOSP परिवर्तन को बग आईडी में समस्या को संबोधित करेंगे। जब कई परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद के नंबरों से जुड़े होते हैं।

मेडीसेवर में रिमोट कोड निष्पादन कमजोरियां

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मध्यस्थ में कमजोरियां एक हमलावर को स्मृति भ्रष्टाचार और मध्यस्थ कोड प्रक्रिया के रूप में दूरस्थ कोड निष्पादन का कारण बना सकती हैं।

प्रभावित कार्यक्षमता को ऑपरेटिंग सिस्टम के एक मुख्य भाग के रूप में प्रदान किया गया है और कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, सबसे विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मध्यस्थता सेवा के संदर्भ में दूरस्थ कोड के निष्पादन की संभावना के कारण इस मुद्दे को एक गंभीर गंभीरता के रूप में मूल्यांकन किया गया है। मीडिया सेवा में ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से उपयोग नहीं कर सकते हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6616 ANDROID-24630158 नाजुक 6.0 और नीचे Google आंतरिक
ANDROID-23882800 नाजुक 6.0 और नीचे Google आंतरिक
ANDROID-17769851 नाजुक 5.1 और नीचे Google आंतरिक
ANDROID-24441553 नाजुक 6.0 और नीचे २२ सितंबर २०१५
ANDROID-24157524 नाजुक 6.0 सिपाही ०, २०१५

स्किया में दूरस्थ कोड निष्पादन कमजोरता

विशेष रूप से तैयार की गई मीडिया फ़ाइल को संसाधित करते समय Skia घटक में भेद्यता का लाभ उठाया जा सकता है, जिससे एक विशेषाधिकार प्राप्त प्रक्रिया में स्मृति भ्रष्टाचार और दूरस्थ कोड निष्पादन हो सकता है। मीडिया फ़ाइलों को संसाधित करते समय कई आक्रमण विधियों जैसे ईमेल, वेब ब्राउज़िंग और एमएमएस के माध्यम से रिमोट कोड के निष्पादन की संभावना के कारण इस मुद्दे को एक गंभीर गंभीरता के रूप में मूल्यांकन किया गया है।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6617 ANDROID-23648740 नाजुक 6.0 और नीचे Google आंतरिक

कर्नेल में विशेषाधिकार का उन्नयन

सिस्टम कर्नेल में विशेषाधिकार भेद्यता की एक ऊंचाई डिवाइस रूट संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस समस्या को एक गंभीर गंभीरता के रूप में दर्जा दिया गया है और ऑपरेटिंग सिस्टम को फिर से चमकाने से डिवाइस की मरम्मत की जा सकती है।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6619 ANDROID-23520714 नाजुक 6.0 और नीचे जून 7, 2015

प्रदर्शन चालक में दूरस्थ कोड निष्पादन कमजोरियाँ

डिस्प्ले ड्राइवरों में कमजोरियां हैं जो मीडिया फ़ाइल को संसाधित करते समय, मध्यस्थता द्वारा लोड किए गए उपयोगकर्ता मोड ड्राइवर के संदर्भ में मेमोरी भ्रष्टाचार और संभावित मनमाना कोड निष्पादन का कारण बन सकता है। मीडिया फ़ाइलों को संसाधित करते समय कई आक्रमण विधियों जैसे ईमेल, वेब ब्राउज़िंग और एमएमएस के माध्यम से रिमोट कोड के निष्पादन की संभावना के कारण इस मुद्दे को एक गंभीर गंभीरता के रूप में मूल्यांकन किया गया है।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6633 ANDROID-23987307 * नाजुक 6.0 और नीचे Google आंतरिक
CVE-2015-6634 ANDROID-24163261 [ 2 ] [ 3 ] [ ] नाजुक 5.1 और नीचे Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

ब्लूटूथ में दूरस्थ कोड निष्पादन भेद्यता

एंड्रॉइड के ब्लूटूथ घटक में एक भेद्यता रिमोट कोड निष्पादन की अनुमति दे सकती है। हालाँकि ऐसा होने से पहले कई मैनुअल चरणों की आवश्यकता होती है। ऐसा करने के लिए व्यक्तिगत क्षेत्र नेटवर्क (PAN) प्रोफ़ाइल सक्षम होने के बाद (उदाहरण के लिए ब्लूटूथ टेथरिंग का उपयोग करने के बाद) और डिवाइस को पेयर करने के बाद इसे सफलतापूर्वक युग्मित डिवाइस की आवश्यकता होगी। रिमोट कोड निष्पादन ब्लूटूथ सेवा के विशेषाधिकार पर होगा। एक डिवाइस केवल इस समस्या के लिए कमजोर है, जबकि स्थानीय निकटता में एक सफलतापूर्वक युग्मित डिवाइस से।

इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि एक हमलावर दूरस्थ रूप से मनमाने ढंग से कोड को निष्पादित कर सकता है जब कई मैनुअल कदम उठाए जाते हैं और स्थानीय रूप से अनुमानित हमलावर से जिसे पहले एक डिवाइस को युग्मित करने की अनुमति दी गई थी।

CVE बग (रों) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6618 ANDROID-24595992 * उच्च 4.4, 5.0 और 5.1 28 सितंबर, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कामेच्छा में विशेषाधिकार कमजोरियों की ऊंचाई

Libstagefright में कई कमजोरियाँ हैं जो मध्यस्थता सेवा के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती हैं। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6620 ANDROID-24123723 उच्च 6.0 और नीचे सितम्बर १०, २०१५
ANDROID-24445127 उच्च 6.0 और नीचे सिपाही २, २०१५

SystemUI में विशेषाधिकार कमजोरता की ऊंचाई

घड़ी एप्लिकेशन का उपयोग करते हुए अलार्म सेट करते समय, सिस्टमयूआई घटक में एक भेद्यता एक आवेदन को एक उन्नत विशेषाधिकार स्तर पर एक कार्य को निष्पादित करने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6621 ANDROID-23909438 उच्च 5.0, 5.1 और 6.0 7 सितंबर, 2015

नेटिव फ्रेमवर्क लाइब्रेरी में सूचना प्रकटीकरण भेद्यता

एंड्रॉइड नेटिव फ्रेमवर्क लाइब्रेरी में एक सूचना प्रकटीकरण भेद्यता मंच पर शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के एक बायपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया जाता है क्योंकि उनका उपयोग उच्च क्षमता हासिल करने के लिए भी किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6622 ANDROID-23905002 उच्च 6.0 और नीचे 7 सितंबर, 2015

वाई-फाई में विशेषाधिकार कमजोरता की ऊंचाई

वाई-फाई में विशेषाधिकार भेद्यता की वृद्धि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत प्रणाली सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑरसिस्टम अनुमतियों के विशेषाधिकार, जो तीसरे पक्ष के आवेदन के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6623 ANDROID-24872703 उच्च 6.0 Google आंतरिक

सिस्टम सर्वर में विशेषाधिकार कमजोरता की ऊंचाई

सिस्टम सर्वर घटक में विशेषाधिकार भेद्यता का उत्थान सेवा संबंधी जानकारी तक पहुँच प्राप्त करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑर्स सिस्टम अनुमतियां विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों तक पहुंच योग्य नहीं हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6624 ANDROID-23999740 उच्च 6.0 Google आंतरिक

जानकारी प्रकटीकरण कमजोरियों libstagefright में

लिबस्टेजफ्राइट में जानकारी प्रकटीकरण की कमजोरियां हैं कि मध्यस्थ के साथ संचार के दौरान, प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बायपास की अनुमति दे सकता है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया जाता है क्योंकि उनका उपयोग उच्च क्षमता हासिल करने के लिए भी किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6632 ANDROID-24346430 उच्च 6.0 और नीचे Google आंतरिक
CVE-2015-6626 ANDROID-24310423 उच्च 6.0 और नीचे सिपाही २, २०१५
CVE-2015-6631 ANDROID-24623447 उच्च 6.0 और नीचे अगस्त २१, २०१५

सूचना प्रकटीकरण ऑडियो में भेद्यता

ऑडियो फ़ाइल प्रसंस्करण के दौरान ऑडियो घटक में भेद्यता का दोहन किया जा सकता है। यह भेद्यता सूचना के प्रकटीकरण के लिए विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑर्स सिस्टम अनुमतियां विशेषाधिकार, जो तृतीय-पक्ष अनुप्रयोगों तक पहुंच योग्य नहीं हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6627 ANDROID-24211743 उच्च 6.0 और नीचे Google आंतरिक

मीडिया फ्रेमवर्क में सूचना प्रकटीकरण भेद्यता

मीडिया फ्रेमवर्क में एक सूचना प्रकटीकरण भेद्यता है कि मध्यस्थ के साथ संचार के दौरान, प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के एक बायपास की अनुमति दे सकता है। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑर्स सिस्टम अनुमतियां विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6628 ANDROID-24074485 उच्च 6.0 और नीचे 8 सितंबर, 2015

वाई-फाई में सूचना प्रकटीकरण कमजोरता

वाई-फाई घटक में भेद्यता एक हमलावर को वाई-फाई सेवा के कारण जानकारी का खुलासा करने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6629 ANDROID-22667667 उच्च 5.1 और 5.0 Google आंतरिक

सिस्टम सर्वर में विशेषाधिकार कमजोरता की ऊंचाई

सिस्टम सर्वर में विशेषाधिकार भेद्यता का उन्नयन वाई-फाई सेवा से संबंधित जानकारी तक पहुँच प्राप्त करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस मुद्दे को मॉडरेट गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित तरीके से प्राप्त करने के लिए किया जा सकता है।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6625 ANDROID-23936840 मध्यम 6.0 Google आंतरिक

SystemUI में सूचना प्रकटीकरण भेद्यता

SystemUI में एक सूचना प्रकटीकरण भेद्यता स्क्रीनशॉट के लिए पहुँच प्राप्त करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को मॉडरेट गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग " खतरनाक " अनुमतियों को अनुचित तरीके से प्राप्त करने के लिए किया जा सकता है।

CVE AOSP लिंक के साथ बग (s) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2015-6630 ANDROID-19121797 मध्यम 5.0, 5.1 और 6.0 २२ जनवरी २०१५

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तरों की समीक्षा करेगा जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन मुद्दों को हल करने के लिए अपडेट किया गया है?

1 दिसंबर 2015 के सुरक्षा पैच स्तर के साथ LMY48Z या बाद में और एंड्रॉइड 6.0 बनाता है या बाद में इन मुद्दों को संबोधित करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस प्रलेखन का संदर्भ लें। डिवाइस निर्माता जिनमें ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर निर्धारित करना चाहिए: [ro.build.version.security_patch]: [2015-12-01]

संशोधन

  • 07 दिसंबर, 2015: मूल रूप से प्रकाशित
  • 09 दिसंबर, 2015: बुलेटिन ने एओएसपी लिंक को शामिल करने के लिए संशोधित किया।
  • 22 दिसंबर, 2015: अभिस्वीकृति अनुभाग में अनुपलब्ध क्रेडिट जोड़ा गया।
  • 07 मार्च, 2016: अभिस्वीकृति अनुभाग में अनुपलब्ध क्रेडिट जोड़ा गया।