नेक्सस सुरक्षा बुलेटिन-जनवरी 2016

04 जनवरी 2016 को प्रकाशित | 28 अप्रैल 2016 को अपडेट किया गया

हमने अपनी एंड्रॉइड सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के हिस्से के रूप में ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। LMY49F या उसके बाद का संस्करण और 1 जनवरी 2016 या उसके बाद के सुरक्षा पैच स्तर के साथ Android 6.0 इन समस्याओं का समाधान करता है। अधिक जानकारी के लिए सामान्य प्रश्न और उत्तर अनुभाग देखें।

भागीदारों को इस बुलेटिन में वर्णित मुद्दों के बारे में 7 दिसंबर, 2015 या उससे पहले सूचित किया गया था और अपडेट प्रदान किए गए थे। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Verify Apps और SafetyNet के साथ दुरुपयोग की सक्रिय रूप से निगरानी कर रही है जो इंस्टॉल होने वाले संभावित हानिकारक एप्लिकेशन के बारे में चेतावनी देगी। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, Verify Apps डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित ऐप्स विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की स्थापना को पहचानने और अवरुद्ध करने का प्रयास करता है। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं तक नहीं पहुंचाते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2015-6636
  • सेन नी ( @nवन_ ) और कीन लैब, टेनसेंट के जेफैंग ( @K33nTeam ): CVE-2015-6637
  • एंड्रॉइड बायोनिक टीम से याबिन कुई: सीवीई-2015-6640
  • Google X के टॉम क्रेग: CVE-2015-6641
  • जैन हॉर्न ( https://thejh.net ): CVE-2015-6642
  • जौनी मालिनेन पीजीपी आईडी EFC895FA: CVE-2015-5310
  • Google सूचना सुरक्षा इंजीनियर टीम के क्वान गुयेन: CVE-2015-6644
  • गैल बेनियामिनी ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-01-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, अद्यतन संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम समस्या को संबोधित करने वाले AOSP परिवर्तन को बग आईडी से लिंक करेंगे। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6636 एंड्रॉइड-25070493 गंभीर 5.0, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक
एंड्रॉइड-24686670 गंभीर 5.0, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

विविध-एसडी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक के विविध-एसडी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, ऐसी स्थिति में डिवाइस को ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6637 एंड्रॉइड-25307013* गंभीर 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 अक्टूबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

इमेजिनेशन टेक्नोलॉजीज ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

इमेजिनेशन टेक्नोलॉजीज के कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, ऐसी स्थिति में डिवाइस को संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6638 एंड्रॉइड-24673908* गंभीर 5.0, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

ट्रस्टज़ोन में विशेषाधिकार कमजोरियों का बढ़ना

वाइडवाइन QSEE ट्रस्टज़ोन एप्लिकेशन में विशेषाधिकार कमजोरियों का बढ़ना ट्रस्टज़ोन संदर्भ में मनमाना कोड निष्पादित करने के लिए QSEECOM तक पहुंच के साथ एक समझौता, विशेषाधिकार प्राप्त एप्लिकेशन को सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, ऐसी स्थिति में डिवाइस को ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6639 एंड्रॉइड-24446875* गंभीर 5.0, 5.1.1, 6.0, 6.0.1 सितम्बर 23, 2015
सीवीई-2015-6647 एंड्रॉइड-24441554* गंभीर 5.0, 5.1.1, 6.0, 6.0.1 सितम्बर 27, 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, ऐसी स्थिति में डिवाइस को ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6640 एंड्रॉइड-20017123 गंभीर 4.4.4, 5.0, 5.1.1, 6.0 गूगल आंतरिक

ब्लूटूथ में विशेषाधिकार भेद्यता का बढ़ना

ब्लूटूथ घटक में विशेषाधिकार भेद्यता बढ़ने से उपयोगकर्ता की निजी जानकारी (संपर्क) तक पहुंच प्राप्त करने के लिए ब्लूटूथ पर जोड़ा गया एक दूरस्थ डिवाइस सक्षम हो सकता है। इस समस्या को उच्च गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग दूरस्थ रूप से " खतरनाक " क्षमताओं को प्राप्त करने के लिए किया जा सकता है, ये अनुमतियाँ केवल स्थानीय रूप से स्थापित तृतीय-पक्ष अनुप्रयोगों के लिए ही पहुंच योग्य हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6641 एंड्रॉइड-23607427 [ 2 ] उच्च 6.0, 6.0.1 गूगल आंतरिक

कर्नेल में सूचना प्रकटीकरण भेद्यता

कर्नेल में सूचना प्रकटीकरण भेद्यता प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6642 एंड्रॉइड-24157888* उच्च 4.4.4, 5.0, 5.1.1, 6.0 सितम्बर 12, 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

सेटअप विज़ार्ड में विशेषाधिकार भेद्यता का उन्नयन

सेटअप विज़ार्ड में विशेषाधिकार भेद्यता को बढ़ाने से डिवाइस तक भौतिक पहुंच वाले हमलावर को डिवाइस सेटिंग्स तक पहुंच प्राप्त करने और मैन्युअल डिवाइस रीसेट करने में सक्षम बनाया जा सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग फ़ैक्टरी रीसेट सुरक्षा के आसपास अनुचित तरीके से काम करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6643 एंड्रॉइड-25290269 [ 2 ] मध्यम 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना

वाई-फाई घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय रूप से निकटतम हमलावर को वाई-फाई सेवा से संबंधित जानकारी तक पहुंच प्राप्त करने में सक्षम बना सकता है। एक उपकरण केवल स्थानीय निकटता में होने पर ही इस समस्या के प्रति संवेदनशील होता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग दूरस्थ रूप से " सामान्य " क्षमताओं को प्राप्त करने के लिए किया जा सकता है, ये अनुमतियाँ केवल स्थानीय रूप से स्थापित तृतीय-पक्ष अनुप्रयोगों के लिए ही पहुंच योग्य हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-5310 एंड्रॉइड-25266660 मध्यम 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 अक्टूबर 2015

बाउंसी कैसल में सूचना प्रकटीकरण भेद्यता

बाउंसी कैसल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित तरीके से " खतरनाक " अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6644 एंड्रॉइड-24106146 मध्यम 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

SyncManager में सेवा भेद्यता का खंडन

SyncManager में सेवा भेद्यता का खंडन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को रीबूट लूप का कारण बनने में सक्षम कर सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग स्थानीय रूप से सेवा को अस्थायी रूप से अस्वीकार करने के लिए किया जा सकता है जिसे संभवतः फ़ैक्टरी रीसेट के माध्यम से ठीक करने की आवश्यकता होगी।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6645 एंड्रॉइड-23591205 मध्यम 4.4.4, 5.0, 5.1.1, 6.0 गूगल आंतरिक

नेक्सस कर्नेल के लिए हमले की सतह में कमी

SysV IPC किसी भी Android कर्नेल में समर्थित नहीं है। हमने इसे ओएस से हटा दिया है क्योंकि यह अतिरिक्त आक्रमण सतह को उजागर करता है जो सिस्टम में कार्यक्षमता नहीं जोड़ता है जिसका दुर्भावनापूर्ण एप्लिकेशन द्वारा शोषण किया जा सकता है। साथ ही, सिस्टम V आईपीसी एंड्रॉइड के एप्लिकेशन जीवनचक्र के अनुरूप नहीं है क्योंकि आवंटित संसाधनों को मेमोरी मैनेजर द्वारा मुक्त नहीं किया जा सकता है जिससे वैश्विक कर्नेल संसाधन रिसाव हो सकता है। यह परिवर्तन CVE-2015-7613 जैसे मुद्दे को संबोधित करता है।

सीवीई बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-6646 एंड्रॉइड-22300191* मध्यम 6.0 गूगल आंतरिक

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

LMY49F या उसके बाद का संस्करण और 1 जनवरी 2016 या उसके बाद के सुरक्षा पैच स्तर के साथ Android 6.0 इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-01-01]

संशोधन

  • 04 जनवरी 2016: बुलेटिन प्रकाशित.
  • जनवरी 06, 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
  • 28 अप्रैल, 2016: CVE-2015-6617 को अभिस्वीकृतियों से हटा दिया गया और CVE-2015-6647 को सारांश तालिका में जोड़ा गया