Android सुरक्षा बुलेटिन—नवंबर 2016

07 नवंबर 2016 को प्रकाशित | 21 दिसंबर 2016 को अद्यतन किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट भी जारी किया है। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 06 नवंबर 2016 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 20 अक्टूबर 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाएं

  • पिक्सेल और पिक्सेल एक्सएल उपकरणों की शुरूआत के साथ, Google द्वारा समर्थित सभी उपकरणों के लिए शब्द "नेक्सस डिवाइस" के बजाय "Google डिवाइस" हो गया है।
  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की सुविधा प्रदान करने के लिए तीन सुरक्षा पैच स्तर हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2016-11-01 : आंशिक सुरक्षा पैच स्तर। यह सुरक्षा पैच स्तर इंगित करता है कि 2016-11-01 (और सभी पिछले सुरक्षा पैच स्तर) से जुड़े सभी मुद्दों का समाधान कर दिया गया है।
    • 2016-11-05 : पूर्ण सुरक्षा पैच स्तर। यह सुरक्षा पैच स्तर इंगित करता है कि 2016-11-01 और 2016-11-05 (और सभी पिछले सुरक्षा पैच स्तर) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • पूरक सुरक्षा पैच स्तर

      पूरक सुरक्षा पैच स्तर उन उपकरणों की पहचान करने के लिए प्रदान किए जाते हैं जिनमें पैच स्तर परिभाषित होने के बाद सार्वजनिक रूप से प्रकट किए गए मुद्दों के समाधान शामिल होते हैं। हाल ही में प्रकट की गई इन कमजोरियों को 2016-12-01 सुरक्षा पैच स्तर तक संबोधित करने की आवश्यकता नहीं है।

      • 2016-11-06 : यह सुरक्षा पैच स्तर इंगित करता है कि डिवाइस ने 2016-11-05 और सीवीई-2016-5195 से जुड़े सभी मुद्दों को संबोधित कर लिया है, जिसका सार्वजनिक रूप से 19 अक्टूबर 2016 को खुलासा किया गया था।
  • समर्थित Google उपकरणों को 05 नवंबर, 2016 सुरक्षा पैच स्तर के साथ एक एकल OTA अपडेट प्राप्त होगा।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-6722
  • Google के आंद्रेई कपिशनिकोव और मिरियम गेर्शेनसन: CVE-2016-6703
  • एओ वांग ( @ArayzSegment ) और PKAV के ज़िनुओ हान , साइलेंस सूचना प्रौद्योगिकी: CVE-2016-6700, CVE-2016-6702
  • सुरक्षा प्लेटफ़ॉर्म विभाग, टेनसेंट के आस्किशांग: CVE-2016-6713
  • Android सुरक्षा के बिली लाउ: CVE-2016-6737
  • पीरियस विश्वविद्यालय के कॉन्स्टेंटिनो पात्साकिस और एफथिमियोस एलेपिस : सीवीई-2016-6715
  • अलीबाबा मोबाइल सुरक्षा टीम का ड्रैगनएलटीएक्स: सीवीई-2016-6714
  • प्रोजेक्ट ज़ीरो की गैल बेनियामिनी: CVE-2016-6707, CVE-2016-6717
  • गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वोर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-6725, सीवीई-2016-6738, सीवीई-2016-6740, सीवीई-2016-6741, सीवीई-2016-6742, सीवीई-2016-6744, सीवीई-2016-6745, सीवीई-2016-3906
  • अल्फा टीम के गुआंग गोंग (龚广) ( @oldfresher ), Qihoo 360 टेक्नोलॉजी कंपनी लिमिटेड : CVE-2016-6754
  • जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-6739, सीवीई-2016-3904, सीवीई-2016-3907, सीवीई-2016-6698
  • टेनसेंट की कीन लैब के मार्को ग्रासी ( @marcograss ) ( @keen_lab ): CVE-2016-6828
  • प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-6706
  • Google के मार्क रेनॉफ़: CVE-2016-6724
  • माइकल बेडनार्स्की ( github.com/michalbednarski ): CVE-2016-6710
  • Android सुरक्षा का मिन चोंग: CVE-2016-6743
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-6721
  • किदान हे (何淇丹) ( @flanker_hqd ) और गेंगमिंग लियू (刘耕铭) ( @dmxcsnsbh ) कीनलैब, टेनसेंट: CVE-2016-6705
  • Google के रॉबिन ली: CVE-2016-6708
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-6751
  • कास्परस्की लैब के सर्गेई बोब्रोव ( @ब्लैक2फैन ): सीवीई-2016-6716
  • ट्रेंड माइक्रो मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
  • विक्टर वैन डेर वीन, हर्बर्ट बोस, कावे रज़ावी, और व्रीजे यूनिवर्सिटिट एम्स्टर्डम के क्रिस्टियानो गिउफ्रिडा और कैलिफोर्निया विश्वविद्यालय, सांता बारबरा के यानिक फ्रैटान्टोनियो, मार्टिना लिंडोर्फर और जियोवानी विग्ना: सीवीई-2016-6728
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
  • वेन्के डू ( vancouverdou@gmail.com ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6720
  • ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-6704
  • नाइटवॉच साइबर सुरक्षा के याकोव शफ्रानोविच: सीवीई-2016-6723
  • युआन-त्सुंग लो , याओ जून , टोंग लिन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
  • युआन-त्सुंग लो , याओ जून , ज़ियाओडोंग वांग, चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746

इस बुलेटिन में कई मुद्दों पर उनके योगदान के लिए एंड्रॉइड सिक्योरिटी के जैच रिगल को अतिरिक्त धन्यवाद।

2016-11-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-11-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6699 ए-31373622 गंभीर सभी 7.0 27 जुलाई 2016

libzipfile में विशेषाधिकार भेद्यता का बढ़ना

Libzipfile में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6700 ए-30916186 गंभीर कोई नहीं* 4.4.4, 5.0.2, 5.1.1 17 अगस्त 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

स्कीया में रिमोट कोड निष्पादन भेद्यता

लिबस्किया में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। गैलरी प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6701 ए-30190637 उच्च सभी 7.0 गूगल आंतरिक

libjpeg में रिमोट कोड निष्पादन भेद्यता

लिबजेपीईजी में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। libjpeg का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च रेटिंग दी गई है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6702 ए-30259087 उच्च कोई नहीं* 4.4.4, 5.0.2, 5.1.1 19 जुलाई 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

एंड्रॉइड रनटाइम में रिमोट कोड निष्पादन भेद्यता

एंड्रॉइड रनटाइम लाइब्रेरी में रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए विशेष रूप से तैयार किए गए पेलोड का उपयोग करने में सक्षम कर सकती है। एंड्रॉइड रनटाइम का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6703 ए-30765246 उच्च कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6704 ए-30229821 [ 2 ] [ 3 ] उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 19 जुलाई 2016
सीवीई-2016-6705 ए-30907212 [ 2 ] उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 अगस्त 2016
सीवीई-2016-6706 ए-31385713 उच्च सभी 7.0 सितम्बर 8, 2016

सिस्टम सर्वर में विशेषाधिकार भेद्यता का बढ़ना

सिस्टम सर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6707 ए-31350622 उच्च सभी 6.0, 6.0.1, 7.0 सितम्बर 7, 2016

सिस्टम यूआई में विशेषाधिकार भेद्यता का बढ़ना

सिस्टम यूआई में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को मल्टी-विंडो मोड में कार्य प्रोफ़ाइल के सुरक्षा संकेत को बायपास करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6708 ए-30693465 उच्च सभी 7.0 गूगल आंतरिक

कॉन्स्क्रिप्ट में सूचना प्रकटीकरण भेद्यता

यदि किसी एप्लिकेशन द्वारा लीगेसी एन्क्रिप्शन एपीआई का उपयोग किया जाता है, तो कॉन्स्क्रिप्ट में एक सूचना प्रकटीकरण भेद्यता एक हमलावर को संवेदनशील जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6709 ए-31081987 उच्च सभी 6.0, 6.0.1, 7.0 9 अक्टूबर 2015

डाउनलोड प्रबंधक में सूचना प्रकटीकरण भेद्यता

डाउनलोड प्रबंधक में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जिस तक एप्लिकेशन की पहुंच नहीं है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6710 ए-30537115 [ 2 ] उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 30 जुलाई 2016

ब्लूटूथ में सेवा भेद्यता का खंडन

ब्लूटूथ में सेवा से इनकार की भेद्यता किसी करीबी हमलावर को किसी प्रभावित डिवाइस तक ब्लूटूथ पहुंच को अवरुद्ध करने में सक्षम कर सकती है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2014-9908 ए-28672558 उच्च कोई नहीं* 4.4.4, 5.0.2, 5.1.1 5 मई 2014

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

OpenJDK में सेवा भेद्यता का खंडन

OpenJDK में सेवा भेद्यता का एक दूरस्थ खंडन किसी हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2015-0410 ए-30703445 उच्च सभी 7.0 16 जनवरी 2015

मीडियासर्वर में सेवा भेद्यता का खंडन

मीडियासर्वर में सेवा भेद्यता का एक दूरस्थ खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6711 ए-30593765 उच्च कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 अगस्त 2016
सीवीई-2016-6712 ए-30593752 उच्च कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 अगस्त 2016
सीवीई-2016-6713 ए-30822755 उच्च सभी 6.0, 6.0.1, 7.0 11 अगस्त 2016
सीवीई-2016-6714 ए-31092462 उच्च सभी 6.0, 6.0.1, 7.0 22 अगस्त 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना

फ़्रेमवर्क एपीआई में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की अनुमति के बिना ऑडियो रिकॉर्ड करने की अनुमति मिल सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है)।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6715 ए-29833954 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 जून 2016

AOSP लॉन्चर में विशेषाधिकार भेद्यता का बढ़ना

AOSP लॉन्चर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसे शॉर्टकट बनाने की अनुमति दे सकता है जिनके पास उपयोगकर्ता की सहमति के बिना उन्नत विशेषाधिकार हैं। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है)।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6716 ए-30778130 मध्यम सभी 7.0 5 अगस्त 2016

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक अलग भेद्यता के दोहन की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6717 ए-31350239 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 7, 2016

खाता प्रबंधक सेवा में विशेषाधिकार भेद्यता का बढ़ना

खाता प्रबंधक सेवा में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन उपयोगकर्ता के संपर्क के बिना संवेदनशील जानकारी पुनर्प्राप्त करने में सक्षम हो सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आम तौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है।)

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6718 ए-30455516 मध्यम सभी 7.0 गूगल आंतरिक

ब्लूटूथ में विशेषाधिकार भेद्यता का बढ़ना

ब्लूटूथ घटक में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन उपयोगकर्ता की सहमति के बिना किसी भी ब्लूटूथ डिवाइस के साथ जुड़ने में सक्षम हो सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है)।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6719 ए-29043989 [ 2 ] मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 गूगल आंतरिक

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6720 ए-29422020 [ 2 ] [ 3 ] [ 4 ] मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 जून 2016
सीवीई-2016-6721 ए-30875060 मध्यम सभी 6.0, 6.0.1, 7.0 13 अगस्त 2016
सीवीई-2016-6722 ए-31091777 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 23 अगस्त 2016

प्रॉक्सी ऑटो कॉन्फ़िगरेशन में सेवा भेद्यता का खंडन

प्रॉक्सी ऑटो कॉन्फिग में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसके लिए एक असामान्य डिवाइस कॉन्फ़िगरेशन की आवश्यकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6723 ए-30100884 [ 2 ] मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 11 जुलाई 2016

इनपुट प्रबंधक सेवा में सेवा भेद्यता का खंडन

इनपुट प्रबंधक सेवा में सेवा भेद्यता का खंडन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को लगातार रीबूट करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह सेवा का एक अस्थायी अस्वीकरण है जिसे ठीक करने के लिए फ़ैक्टरी रीसेट की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6724 ए-30568284 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 गूगल आंतरिक

2016-11-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-11-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

क्वालकॉम क्रिप्टो ड्राइवर में रिमोट कोड निष्पादन भेद्यता

क्वालकॉम क्रिप्टो ड्राइवर में एक रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6725 ए-30515053
क्यूसी-सीआर#1050970
गंभीर Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 25 जुलाई 2016

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2015-8961 ए-30952474
अपस्ट्रीम कर्नेल
गंभीर पिक्सेल, पिक्सेल एक्सएल 18 अक्टूबर 2015
सीवीई-2016-7911 ए-30946378
अपस्ट्रीम कर्नेल
गंभीर Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 01 जुलाई 2016
सीवीई-2016-7910 ए-30942273
अपस्ट्रीम कर्नेल
गंभीर Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 29 जुलाई 2016

कर्नेल एससीएसआई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल SCSI ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2015-8962 ए-30951599
अपस्ट्रीम कर्नेल
गंभीर पिक्सेल, पिक्सेल एक्सएल 30 अक्टूबर 2015

कर्नेल मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-7913 ए-30946097
अपस्ट्रीम कर्नेल
गंभीर Nexus 6P, Android One, Nexus प्लेयर, Pixel, Pixel XL 28 जनवरी 2016

कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-7912 ए-30950866
अपस्ट्रीम कर्नेल
गंभीर पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल 14 अप्रैल 2016

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6728 ए-30400942* गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन 25 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6729 ए-30977990*
क्यूसी-सीआर#977684
गंभीर Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 25 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6730 ए-30904789*
एन-सीवीई-2016-6730
गंभीर पिक्सेल सी 16 अगस्त 2016
सीवीई-2016-6731 ए-30906023*
एन-सीवीई-2016-6731
गंभीर पिक्सेल सी 16 अगस्त 2016
सीवीई-2016-6732 ए-30906599*
एन-सीवीई-2016-6732
गंभीर पिक्सेल सी 16 अगस्त 2016
सीवीई-2016-6733 ए-30906694*
एन-सीवीई-2016-6733
गंभीर पिक्सेल सी 16 अगस्त 2016
सीवीई-2016-6734 ए-30907120*
एन-सीवीई-2016-6734
गंभीर पिक्सेल सी 16 अगस्त 2016
सीवीई-2016-6735 ए-30907701*
एन-सीवीई-2016-6735
गंभीर पिक्सेल सी 16 अगस्त 2016
सीवीई-2016-6736 ए-30953284*
एन-सीवीई-2016-6736
गंभीर पिक्सेल सी 18 अगस्त 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6828 ए-31183296
अपस्ट्रीम कर्नेल
गंभीर Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 18 अगस्त 2016

कर्नेल ध्वनि उपप्रणाली में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ध्वनि सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-2184 ए-30952477
अपस्ट्रीम कर्नेल
गंभीर Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL मार्च 31, 2016

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6737 ए-30928456* गंभीर Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL गूगल आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम घटकों में कमजोरियाँ

नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं और क्वालकॉम एएमएसएस जून 2016 सुरक्षा बुलेटिन और सुरक्षा अलर्ट 80-एनवी606-17 में आगे विस्तार से वर्णित किया गया है।

सीवीई संदर्भ तीव्रता* अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6727 ए-31092400** गंभीर एंड्रॉयड वन क्वालकॉम आंतरिक
सीवीई-2016-6726 ए-30775830** उच्च नेक्सस 6, एंड्रॉइड वन क्वालकॉम आंतरिक

* इन कमजोरियों की गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

** इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

एक्सपैट में रिमोट कोड निष्पादन भेद्यता

नीचे दी गई तालिका में एक्सपैट लाइब्रेरी को प्रभावित करने वाली सुरक्षा कमजोरियाँ शामिल हैं। इनमें से सबसे गंभीर समस्या एक्सपैट एक्सएमएल पार्सर में विशेषाधिकार भेद्यता का बढ़ना है, जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक हमलावर को एक विशेषाधिकार रहित प्रक्रिया में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। एक्सपैट का उपयोग करने वाले एप्लिकेशन में मनमाने ढंग से कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-0718 ए-28698301 उच्च कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 मई 2016
सीवीई-2012-6702 ए-29149404 मध्यम कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 06, 2016
सीवीई-2016-5300 ए-29149404 मध्यम कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 जून 04, 2016
सीवीई-2015-1283 ए-27818751 कम कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 जुलाई 2015

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

वेबव्यू में रिमोट कोड निष्पादन भेद्यता

जब उपयोगकर्ता किसी वेबसाइट पर नेविगेट कर रहा हो तो वेबव्यू में रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को मनमाना कोड निष्पादित करने में सक्षम कर सकती है। एक विशेषाधिकार रहित प्रक्रिया में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6754 ए-31217937 उच्च कोई नहीं* 5.0.2, 5.1.1, 6.0, 6.0.1 23 अगस्त 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

फ्रीटाइप में रिमोट कोड निष्पादन भेद्यता

फ़्रीटाइप में एक रिमोट कोड निष्पादन भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेष रूप से तैयार किए गए फ़ॉन्ट को लोड करने में सक्षम कर सकती है, जिससे एक अप्रकाशित प्रक्रिया में मेमोरी भ्रष्टाचार हो सकता है। फ्रीटाइप का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2014-9675 ए-24296662 [ 2 ] उच्च कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2015-8963 ए-30952077
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 15 दिसंबर 2015

कर्नेल सिस्टम-कॉल ऑडिटिंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल सिस्टम-कॉल ऑडिटिंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में सिस्टम-कॉल ऑडिटिंग को बाधित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि यह गहराई या शोषण शमन प्रौद्योगिकी में कर्नेल-स्तरीय रक्षा के लिए एक सामान्य बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6136 ए-30956807
अपस्ट्रीम कर्नेल
उच्च एंड्रॉइड वन, पिक्सेल सी, नेक्सस प्लेयर 1 जुलाई 2016

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6738 ए-30034511
क्यूसी-सीआर#1050538
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 7 जुलाई 2016

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6739 ए-30074605*
क्यूसी-सीआर#1049826
उच्च Nexus 5X, Nexus 6P, Pixel, Pixel XL 11 जुलाई 2016
सीवीई-2016-6740 ए-30143904
क्यूसी-सीआर#1056307
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 12 जुलाई 2016
सीवीई-2016-6741 ए-30559423
क्यूसी-सीआर#1060554
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 28 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम बस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम बस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-3904 ए-30311977
क्यूसी-सीआर#1050455
उच्च Nexus 5X, Nexus 6P, Pixel, Pixel XL 22 जुलाई 2016

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6742 ए-30799828* उच्च नेक्सस 5एक्स, एंड्रॉइड वन 9 अगस्त 2016
सीवीई-2016-6744 ए-30970485* उच्च नेक्सस 5X 19 अगस्त 2016
सीवीई-2016-6745 ए-31252388* उच्च Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 1 सितंबर 2016
सीवीई-2016-6743 ए-30937462* उच्च नेक्सस 9, एंड्रॉइड वन गूगल आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता

मानव इंटरफ़ेस डिवाइस ड्राइवर, फ़ाइल सिस्टम और टेलेटाइप ड्राइवर सहित कर्नेल घटकों में एक सूचना प्रकटीकरण भेद्यता, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2015-8964 ए-30951112
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 27 नवंबर 2015
सीवीई-2016-7915 ए-30951261
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 19 जनवरी 2016
सीवीई-2016-7914 ए-30513364
अपस्ट्रीम कर्नेल
उच्च पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल अप्रैल 06, 2016
सीवीई-2016-7916 ए-30951939
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 05 मई 2016

NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6746 ए-30955105*
एन-सीवीई-2016-6746
उच्च पिक्सेल सी 18 अगस्त 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियासर्वर में सेवा भेद्यता का खंडन

मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6747 ए-31244612*
एन-सीवीई-2016-6747
उच्च नेक्सस 9 गूगल आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता

प्रोसेस-ग्रुपिंग सबसिस्टम और नेटवर्किंग सबसिस्टम सहित कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-7917 ए-30947055
अपस्ट्रीम कर्नेल
मध्यम पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल फ़रवरी 02, 2016
सीवीई-2016-6753 ए-30149174* मध्यम Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 13 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता

GPU ड्राइवर, पावर ड्राइवर, SMSM पॉइंट-टू-पॉइंट ड्राइवर और साउंड ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6748 ए-30076504
क्यूसी-सीआर#987018
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 12 जुलाई 2016
सीवीई-2016-6749 ए-30228438
क्यूसी-सीआर#1052818
मध्यम Nexus 5X, Nexus 6P, Pixel, Pixel XL 12 जुलाई 2016
सीवीई-2016-6750 ए-30312054
क्यूसी-सीआर#1052825
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 21 जुलाई 2016
सीवीई-2016-3906 ए-30445973
क्यूसी-सीआर#1054344
मध्यम नेक्सस 5एक्स, नेक्सस 6पी 27 जुलाई 2016
सीवीई-2016-3907 ए-30593266
क्यूसी-सीआर#1054352
मध्यम Nexus 5X, Nexus 6P, Pixel, Pixel XL 2 अगस्त 2016
सीवीई-2016-6698 ए-30741851
क्यूसी-सीआर#1058826
मध्यम Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 2 अगस्त 2016
सीवीई-2016-6751 ए-30902162*
क्यूसी-सीआर#1062271
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 15 अगस्त 2016
सीवीई-2016-6752 ए-31498159
क्यूसी-सीआर#987051
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL गूगल आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

2016-11-06 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-11-06 सुरक्षा पैच स्तर-ऊपर भेद्यता सारांश में सूचीबद्ध प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

नोट: 2016-11-06 का सुरक्षा पैच स्तर इंगित करता है कि इस समस्या के साथ-साथ 2016-11-01 और 2016-11-05 से जुड़े सभी मुद्दों का समाधान कर दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन कर्नेल संस्करण दिनांक सूचित किया गया
सीवीई-2016-5195 ए-32141528
अपस्ट्रीम कर्नेल [ 2 ]
गंभीर 3.10, 3.18 12 अक्टूबर 2016

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।

  • 2016-11-01 या उसके बाद के सुरक्षा पैच स्तर 2016-11-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2016-11-05 या उसके बाद के सुरक्षा पैच स्तर 2016-11-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2016-11-06 या बाद के सुरक्षा पैच स्तर 2016-11-06 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों का समाधान करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच लेवल स्ट्रिंग को यहां सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2016-11-01]
  • [ro.build.version.security_patch]:[2016-11-05]
  • [ro.build.version.security_patch]:[2016-11-06]।

2. इस बुलेटिन में तीन सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में तीन सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 1 नवंबर 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
  • जो डिवाइस 5 नवंबर 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
  • जो डिवाइस 6 नवंबर 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?

2016-11-01 , 2016-11-05 , और 2016-11-06 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड Google डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी Google डिवाइस : यदि कोई समस्या सभी Nexus और Pixel डिवाइसों को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "ऑल" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर, पिक्सेल सी, पिक्सेल और पिक्सेल एक्सएल।
  • कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई Google डिवाइस नहीं : यदि Android 7.0 पर चलने वाला कोई भी Google डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" होगा।

4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

संशोधन

  • 07 नवंबर 2016: बुलेटिन प्रकाशित.
  • नवंबर 08: सीवीई-2016-6709 के लिए एओएसपी लिंक और अद्यतन विवरण शामिल करने के लिए बुलेटिन को संशोधित किया गया।
  • 17 नवंबर: सीवीई-2016-6828 के लिए एट्रिब्यूशन को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
  • 21 दिसंबर: अद्यतन शोधकर्ता क्रेडिट।