Google अश्वेत समुदायों के लिए नस्लीय इक्विटी को आगे बढ़ाने के लिए प्रतिबद्ध है। देखो कैसे।
इस पेज का अनुवाद Cloud Translation API से किया गया है.
Switch to English

नेक्सस सिक्योरिटी बुलेटिन - मार्च 2016

प्रकाशित 07 मार्च, 2016 | 08 मार्च 2016 को अपडेट किया गया

हमने अपने Android सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के भाग के रूप में एक ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अद्यतन जारी किया है। Nexus फर्मवेयर चित्र Google डेवलपर साइट पर भी जारी किए गए हैं। 01 मार्च 2016 के सुरक्षा पैच स्तर के साथ LMY49H या बाद में और Android M बनाता है या बाद में इन मुद्दों को संबोधित करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस प्रलेखन का संदर्भ लें।

1 फरवरी 2016 या उससे पहले बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी किया गया है।

इन मुद्दों में से सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय कई तरीकों जैसे ईमेल, वेब ब्राउज़िंग और एमएमएस के माध्यम से एक प्रभावित डिवाइस पर दूरस्थ कोड निष्पादन को सक्षम कर सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का दोहन संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेवा सुरक्षा जैसे सुरक्षा नेटवर्कों के विवरण के लिए मिटिगेशन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं। हम सभी ग्राहकों को अपने उपकरणों के लिए इन अद्यतनों को स्वीकार करने के लिए प्रोत्साहित करते हैं।

mitigations

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सर्विस प्रोटेक्शन जैसे सेफ्टीनेट द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सिक्योरिटी टीम वेरिफाइ एप्स और सेफ्टीनेट के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी कर रही है जो संभावित हानिकारक अनुप्रयोगों के बारे में चेतावनी देगा। Google Play के भीतर डिवाइस रूटिंग टूल निषिद्ध हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, सत्यापन एप्लिकेशन डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग अनुप्रयोगों के बारे में चेतावनी देगा। सत्यापित दुर्भावनापूर्ण एप्लिकेशनों की पहचान और ब्लॉक स्थापना के प्रयासों को सत्यापित करें जो एक विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो वेरिफाई ऐप्स उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा कि उचित है, Google Hangouts और मैसेंजर एप्लिकेशन मीडिया को मध्यस्थता जैसी प्रक्रियाओं से स्वचालित रूप से पारित नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहेंगे:

  • अभिषेक आर्य, ओलिवर चांग, ​​और गूगल क्रोम सिक्योरिटी टीम के मार्टिन बारबेला: CVE-2016-0815
  • Anestis Bechtsoudis ( @anestisb ) CENSUS का SA: CVE-2016-0816, CVE-2016-0824
  • Android सुरक्षा से चाड ब्रूकर: CVE-2016-0818
  • Google परियोजना शून्य का मार्क ब्रांड: CVE-2016-0820
  • मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचीह वू ( @chiachih_wu ), और Q0oo 360 से C0RE टीम के जुक्सियान जियांग: CVE-2016-0826
  • पीटर पी ( @heisecode ) ट्रेंड माइक्रो: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
  • स्कॉट बाउर ( sbauer@eng.utah.edu , sbauer@plzdonthack.me ): CVE-2016-0822
  • ट्रेंड माइक्रो इंक .: CVE-2016-0819 के वू ( @wish_wu )
  • योंगझेंग वू और हुआवेई के टीयान ली: सीवीई-2016-0831
  • सिंगापुर प्रबंधन विश्वविद्यालय के सु मोन कायवे और यिंगजियु ली: CVE-2016-0831
  • Zach Riggle ( @ ebeip90 ) Android सुरक्षा टीम: CVE-2016-0821

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-03-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। इस मुद्दे का विवरण, एक गंभीरता का औचित्य और सीवीई, संबद्ध बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तालिका है। उपलब्ध होने पर, हम इस AOSP परिवर्तन को बग आईडी से संबोधित करेंगे। जब कई परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद के नंबरों से जुड़े होते हैं।

मेडीसेवर में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल की डेटा प्रोसेसिंग के दौरान, मध्यस्थ में कमजोरियां एक हमलावर को स्मृति भ्रष्टाचार और मध्यस्थ कोड प्रक्रिया के रूप में दूरस्थ कोड निष्पादन का कारण बना सकती हैं।

प्रभावित कार्यक्षमता को ऑपरेटिंग सिस्टम के एक मुख्य भाग के रूप में प्रदान किया गया है, और कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, सबसे विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मध्यस्थता सेवा के संदर्भ में दूरस्थ कोड के निष्पादन की संभावना के कारण इस मुद्दे को एक गंभीर गंभीरता के रूप में मूल्यांकन किया गया है। मीडिया सेवा में ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से उपयोग नहीं कर सकते हैं।

CVE AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0815 ANDROID-26365349 नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक
CVE-2016-0816 ANDROID-25928803 नाजुक 6.0, 6.0.1 है Google आंतरिक

रिमोट कोड निष्पादन libvpx में कमजोरियाँ

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मध्यस्थ में कमजोरियां एक हमलावर को स्मृति भ्रष्टाचार और मध्यस्थ कोड प्रक्रिया के रूप में दूरस्थ कोड निष्पादन का कारण बना सकती हैं।

प्रभावित कार्यक्षमता को ऑपरेटिंग सिस्टम के एक मुख्य भाग के रूप में प्रदान किया गया है और कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, सबसे विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मुद्दों को गंभीर गंभीरता के रूप में मूल्यांकन किया जाता है क्योंकि उनका उपयोग मध्यस्थ कोड सेवा के संदर्भ में दूरस्थ कोड निष्पादन के लिए किया जा सकता है। मीडिया सेवा में ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जो तृतीय-पक्ष एप्लिकेशन सामान्य रूप से उपयोग नहीं कर सकते हैं।

CVE AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-1621 ANDROID-23452792 [2] [3] नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0 Google आंतरिक

वाणिज्य दूतावास में विशेषाधिकार का उन्नयन

कॉन्सट्रिप में एक भेद्यता एक विशिष्ट प्रकार के अमान्य प्रमाण पत्र की अनुमति दे सकती है, जो एक मध्यवर्ती प्रमाणपत्र प्राधिकरण (सीए) द्वारा जारी किया गया है, गलत तरीके से भरोसा किया जा सकता है। यह एक मानव-में-मध्य हमले को सक्षम कर सकता है। विशेषाधिकार और दूरदराज के मनमाने कोड निष्पादन की संभावना के कारण इस मुद्दे को एक गंभीर गंभीरता के रूप में मूल्यांकन किया गया है।

CVE AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0818 ANDROID-26232830 [2] नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google आंतरिक

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार कमजोरता की ऊंचाई

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस समस्या को एक गंभीर गंभीरता के रूप में मूल्यांकन किया गया है, और ऑपरेटिंग सिस्टम को फिर से चमकाने से डिवाइस की मरम्मत की जा सकती है।

CVE बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0819 ANDROID-25364034 * नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अक्टूबर 29, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक वाई-फाई कर्नेल ड्राइवर में विशेषाधिकार कमजोरता की ऊंचाई

मीडियाटेक वाई-फाई कर्नेल ड्राइवर में एक भेद्यता है जो कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। कर्नेल के संदर्भ में विशेषाधिकार और मनमाना कोड निष्पादन की संभावना के कारण इस मुद्दे को एक गंभीर गंभीरता के रूप में मूल्यांकन किया गया है।

CVE बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0820 ANDROID-26267358 * नाजुक 6.0.1 दिसंबर 18, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल कीरिंग घटक में विशेषाधिकार कमजोरता की ऊंचाई

कर्नेल कीरिंग घटक में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के भीतर मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस समस्या को एक गंभीर गंभीरता के रूप में मूल्यांकन किया गया है और डिवाइस को केवल ऑपरेटिंग सिस्टम को फिर से चमकाने से ही ठीक किया जा सकता है। हालाँकि, एंड्रॉइड 5.0 और इसके बाद के संस्करण में, SELinux नियम तृतीय-पक्ष एप्लिकेशन को प्रभावित कोड तक पहुंचने से रोकता है।

नोट: संदर्भ के लिए, AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 4.1 , 3.18 , 3.14 , और 3.10

CVE बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0728 ANDROID-26636379 नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 ११ जनवरी २०१६

शमन कर्ण में शमन बाईपास

कर्नेल में एक शमन बाईपास भेद्यता प्लेटफ़ॉर्म का उपयोग करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बायपास की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि यह मंच पर शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकता है।

नोट: इस समस्या का अद्यतन लिनक्स अपस्ट्रीम में स्थित है

CVE बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0821 ANDROID-26186802 उच्च 6.0.1 Google आंतरिक

मीडियाटेक कनेक्टिविटी कर्नेल ड्राइवर में विशेषाधिकार का उन्नयन

MediaTek कनेक्टिविटी कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का एक उत्थान है जो कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। आम तौर पर इस तरह एक कर्नेल कोड निष्पादन बग महत्वपूर्ण मूल्यांकन किया जाएगा, लेकिन क्योंकि यह पहली बार con_launcher सेवा से समझौता करने की आवश्यकता है, यह उच्च गंभीरता रेटिंग के लिए डाउनग्रेड को सही ठहराता है।

CVE बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0822 ANDROID-25873324 * उच्च 6.0.1 24 नवंबर, 2015

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

सूचना कर्नेल में प्रकटीकरण भेद्यता

कर्नेल में एक जानकारी प्रकटीकरण भेद्यता प्लेटफ़ॉर्म का उपयोग करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बायपास की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि वे एक विशेषाधिकार प्राप्त प्रक्रिया में ASLR जैसे शोषण शमन प्रौद्योगिकियों के एक स्थानीय बाईपास की अनुमति दे सकते हैं।

नोट: इस समस्या का हल लिनक्स अपस्ट्रीम में स्थित है

CVE बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0823 ANDROID-25739721 * उच्च 6.0.1 Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

जानकारी प्रकटीकरण भेद्यता libstagefright में

लीबस्टेजफ्राइट में सूचना का प्रकटीकरण प्लेटफ़ॉर्म पर शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बायपास की अनुमति दे सकता है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया जाता है क्योंकि उनका उपयोग उच्च क्षमता प्राप्त करने के लिए भी किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑर्स सिस्टम अनुमतियां विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0824 ANDROID-25765591 उच्च 6.0, 6.0.1 है 18 नवंबर 2015

वाइड्विन में सूचना प्रकटीकरण भेद्यता

वाइड्विन ट्रस्टेड एप्लिकेशन में एक सूचना प्रकटीकरण भेद्यता ट्रस्टजोन सुरक्षित भंडारण में जानकारी तक पहुंचने के लिए कर्नेल संदर्भ में कोड चलाने की अनुमति दे सकती है। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑर सिस्टम अनुमति विशेषाधिकार।

CVE बग (रों) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0825 ANDROID-20860039 * उच्च 6.0.1 Google आंतरिक

* इस मुद्दे के लिए पैच AOSP में नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मेडिसेवर में विशेषाधिकार कमजोरता की ऊंचाई

मध्यस्थता में विशेषाधिकार भेद्यता का एक उत्थान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑरसिस्टम अनुमतियों के विशेषाधिकार, जो तीसरे पक्ष के आवेदन के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0826 ANDROID-26265403 [2] उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 17 दिसंबर, 2015
CVE-2016-0827 ANDROID-26347509 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसंबर 28, 2015

मेडिसर्वर में सूचना प्रकटीकरण भेद्यता

मध्यस्थ का उपयोग करने में एक सूचना प्रकटीकरण मंच पर शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बायपास की अनुमति दे सकता है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया जाता है क्योंकि उनका उपयोग उच्च क्षमता हासिल करने के लिए भी किया जा सकता है, जैसे कि हस्ताक्षर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए सुलभ नहीं हैं।

CVE AOSP लिंक के साथ कीड़े तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0828 ANDROID-26338113 उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 दिसंबर 27, 2015
CVE-2016-0829 ANDROID-26338109 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसंबर 27, 2015

ब्लूटूथ में सेवा कमजोरता का रिमोट डेनियल

ब्लूटूथ घटक में सेवा भेद्यता का एक दूरस्थ इनकार एक समीपस्थ हमलावर को एक प्रभावित उपकरण तक पहुंच को अवरुद्ध करने की अनुमति दे सकता है। एक हमलावर ब्लूटूथ घटक में पहचाने गए ब्लूटूथ डिवाइस के अतिप्रवाह का कारण बन सकता है, जिससे स्मृति भ्रष्टाचार और सेवा बंद हो जाती है। इसे एक उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि यह ब्लूटूथ सेवा के लिए एक इनकार सेवा की ओर जाता है, जो संभवतः केवल डिवाइस के फ्लैश के साथ तय किया जा सकता है।

CVE AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0830 ANDROID-26071376 उच्च 6.0, 6.0.1 है Google आंतरिक

टेलीफोनी में सूचना प्रकटीकरण भेद्यता

टेलीफोनी घटक में एक सूचना प्रकटीकरण भेद्यता संवेदनशील जानकारी तक पहुँचने के लिए एक आवेदन की अनुमति दे सकता है। इस समस्या को मॉडरेट गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा के अनुचित उपयोग के लिए किया जा सकता है।

CVE AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0831 ANDROID-25778215 मध्यम 5.0.2, 5.1.1, 6.0, 6.0.1 16 नवंबर, 2015

सेटअप विज़ार्ड में विशेषाधिकार कमजोरता की ऊंचाई

सेटअप विज़ार्ड में भेद्यता एक हमलावर को सक्षम कर सकती है, जिसके पास डिवाइस सेटिंग्स तक पहुंच प्राप्त करने और मैन्युअल डिवाइस रीसेट करने के लिए डिवाइस तक भौतिक पहुंच थी। इस मुद्दे को मॉडरेट गंभीरता के रूप में मूल्यांकन किया गया है क्योंकि इसका उपयोग फ़ैक्टरी रीसेट सुरक्षा के आसपास अनुचित तरीके से काम करने के लिए किया जा सकता है।

CVE बग (रों) तीव्रता अद्यतन संस्करण तारीख की सूचना दी
CVE-2016-0832 ANDROID-25955042 * मध्यम 5.1.1, 6.0, 6.0.1 Google आंतरिक

* इस अद्यतन के लिए कोई स्रोत कोड पैच प्रदान नहीं किया गया है।

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन मुद्दों को हल करने के लिए अपडेट किया गया है?

1 मार्च 2016 के सुरक्षा पैच स्तर के साथ LMY49H या बाद में और Android 6.0 बनाता है या बाद में इन मुद्दों को संबोधित करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस प्रलेखन का संदर्भ लें। डिवाइस निर्माता जिनमें ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर सेट करना चाहिए: [ro.build.version.security_patch]: [2016-03-01]

संशोधन

  • 07 मार्च, 2016: बुलेटिन प्रकाशित।
  • 08 मार्च, 2016: बुलेटिन ने एओएसपी लिंक को शामिल करने के लिए संशोधित किया।