Android सुरक्षा बुलेटिन—दिसंबर 2016

05 दिसंबर 2016 को प्रकाशित | 21 दिसंबर 2016 को अद्यतन किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट भी जारी किया है। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 दिसंबर 2016 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 07 नवंबर 2016 या उससे पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इनमें से सबसे गंभीर समस्या डिवाइस-विशिष्ट कोड में गंभीर सुरक्षा कमजोरियां हैं जो कर्नेल के संदर्भ में मनमाने ढंग से कोड निष्पादन को सक्षम कर सकती हैं, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है। . गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाएं

  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2016-12-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-12-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2016-12-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-12-01 और 2016-12-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित Google उपकरणों को 05 दिसंबर, 2016 सुरक्षा पैच स्तर के साथ एक एकल OTA अपडेट प्राप्त होगा।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • अलीबाबा मोबाइल सुरक्षा समूह के बाओज़ेंग डिंग, चेंगमिंग यांग, पेंग जिओ, निंग यू, यांग डोंग, चाओ यांग, यी झांग और यांग सॉन्ग: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785
  • ची झांग , मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6789, CVE-2016-6790
  • क्रिश्चियन सील: सीवीई-2016-6769
  • Google के डेविड बेंजामिन और केनी रूट: CVE-2016-6767
  • कीनलैब के डि शेन ( @returnsme ), टेनसेंट: CVE-2016-6776, CVE - 2016-6787
  • MS509Team के एन हे ( @heeeeen4x ) : CVE-2016-6763
  • गेंग्जिया चेन ( @chengjia4574 ), आइसस्वॉर्ड लैब के पीजेएफ , क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-6779, सीवीई-2016-6778, सीवीई-2016-8401, सीवीई-2016-8402, सीवीई-2016-8403, सीवीई-2016-8409, सीवीई-2016-8408, सीवीई-2016-8404
  • जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-6788, सीवीई-2016-6781, सीवीई-2016-6782, सीवीई-2016-8396
  • लुबो झांग , टोंग लिन , युआन-त्सुंग लो , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
  • प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-6772
  • माइकल बेडनार्स्की : सीवीई-2016-6770, सीवीई-2016-6774
  • मिंगजियन झोउ ( @Mingjian_Zhou ), ची झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
  • मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6760
  • मिंगजियन झोउ ( @Mingjian_Zhou ), हानक्सियांग वेन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6759
  • टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे ): सीवीई-2016-6915, सीवीई-2016-6916, सीवीई-2016-6917
  • नाइटवॉच साइबर सुरक्षा अनुसंधान ( @nightwatchcyber ): CVE-2016-5341
  • पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब के लेनक्स वेई (韦韬): CVE-2016-6755, CVE-2016-6756
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
  • किदान हे (何淇丹) ( @flanker_hqd ) कीनलैब, टेनसेंट (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
  • कीडन हे (何淇丹) ( @flanker_hqd ) और कीनलैब, टेनसेंट के मार्को ग्रासी ( @marcograss ) (腾讯科恩实验室): CVE-2016-6768
  • रिचर्ड शुपाक: सीवीई-2016-5341
  • आईबीएम एक्स-फोर्स रिसर्च के सागी केडमी: सीवीई-2016-8393, सीवीई-2016-8394
  • मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ), ट्रेंड माइक्रो इंक.: CVE-2016-6757
  • अलीबाबा इंक. के वीचाओ सन ( @sunblate ): CVE-2016-6773
  • वेन्के डू , ची झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6765
  • मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो इंक. के विश वू ( @wish_wu ) (吴潍浠): CVE-2016-6704
  • युआन-त्सुंग लो , टोंग लिन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियान जियांग: CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
  • युआन-त्सुंग लो , ज़ियाओडोंग वांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियान जियांग: CVE-2016-6777
  • Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के युक्सियांग ली: CVE-2016-6771
  • चेंगदू सिक्योरिटी रिस्पांस सेंटर, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के झे जिन (金哲): सीवीई-2016-6764, सीवीई-2016-6766
  • क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के चेंगदू सुरक्षा प्रतिक्रिया केंद्र के ज़िनुओ हान : सीवीई-2016-6762

इस सुरक्षा बुलेटिन में उनके योगदान के लिए बॉटल टेक के मेंगलुओ गौ ( @idhyt3r ), योंग वांग (王勇) ( @ThomasKing2014 ), और Google के ज़ुबिन मिथरा को धन्यवाद।

2016-12-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

CURL/LIBCURL में रिमोट कोड निष्पादन भेद्यता

तालिका में CURL और LIBCURL लाइब्रेरीज़ को प्रभावित करने वाली सुरक्षा कमजोरियाँ शामिल हैं। सबसे गंभीर समस्या एक मध्यस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए जाली प्रमाणपत्र का उपयोग करने में सक्षम कर सकती है। हमलावर को जाली प्रमाणपत्र की आवश्यकता होने के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-5419 ए-31271247 उच्च सभी 7.0 3 अगस्त 2016
सीवीई-2016-5420 ए-31271247 उच्च सभी 7.0 3 अगस्त 2016
सीवीई-2016-5421 ए-31271247 उच्च सभी 7.0 3 अगस्त 2016

libziparchive में विशेषाधिकार भेद्यता का बढ़ना

Libziparchive लाइब्रेरी में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6762 ए-31251826 [ 2 ] उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 अगस्त 2016

टेलीफोनी में सेवा भेद्यता का खंडन

टेलीफ़ोनी में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। स्थानीय स्तर पर स्थायी रूप से सेवा से इनकार की संभावना के कारण इस मुद्दे को उच्च श्रेणी का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6763 ए-31530456 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 12, 2016

मीडियासर्वर में सेवा भेद्यता का खंडन

मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6766 ए-31318219 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 5, 2016
सीवीई-2016-6765 ए-31449945 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 7.0 सितम्बर 13, 2016
सीवीई-2016-6764 ए-31681434 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 22, 2016
सीवीई-2016-6767 ए-31833604 उच्च कोई नहीं* 4.4.4 गूगल आंतरिक

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

फ़्रेमसीक्वेंस लाइब्रेरी में रिमोट कोड निष्पादन भेद्यता

फ़्रेमसीक्वेंस लाइब्रेरी में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। फ़्रेमसीक्वेंस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6768 ए-31631842 उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 19 सितम्बर 2016

स्मार्ट लॉक में विशेषाधिकार भेद्यता का बढ़ना

स्मार्ट लॉक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को बिना पिन के स्मार्ट लॉक सेटिंग्स तक पहुंचने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए सबसे पहले एक अनलॉक किए गए डिवाइस तक भौतिक पहुंच की आवश्यकता होती है जहां स्मार्ट लॉक उपयोगकर्ता द्वारा एक्सेस किया गया अंतिम सेटिंग फलक था।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6769 ए-29055171 मध्यम कोई नहीं* 5.0.2, 5.1.1, 6.0, 6.0.1 27 मई 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना

फ़्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके एक्सेस स्तर से परे सिस्टम फ़ंक्शंस तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह एक प्रतिबंधित प्रक्रिया पर प्रतिबंधों का स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6770 ए-30202228 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 16 जुलाई 2016

टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना

टेलीफ़ोनी में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके एक्सेस स्तर से परे सिस्टम फ़ंक्शंस तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह एक प्रतिबंधित प्रक्रिया पर प्रतिबंधों का स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6771 ए-31566390 मध्यम सभी 6.0, 6.0.1, 7.0 सितम्बर 17, 2016

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6772 ए-31856351 [ 2 ] मध्यम सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 30, 2016

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6773 ए-30481714 [ 2 ] मध्यम सभी 6.0, 6.0.1, 7.0 27 जुलाई 2016

पैकेज मैनेजर में सूचना प्रकटीकरण भेद्यता

पैकेज मैनेजर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-6774 ए-31251489 मध्यम सभी 7.0 29 अगस्त 2016

2016-12-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-12-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-4794 ए-31596597
अपस्ट्रीम कर्नेल [ 2 ]
गंभीर पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल 17 अप्रैल 2016
सीवीई-2016-5195 ए-32141528
अपस्ट्रीम कर्नेल [ 2 ]
गंभीर Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 12 अक्टूबर 2016

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6775 ए-31222873*
एन-सीवीई-2016-6775
गंभीर नेक्सस 9 25 अगस्त 2016
सीवीई-2016-6776 ए-31680980*
एन-सीवीई-2016-6776
गंभीर नेक्सस 9 सितम्बर 22, 2016
सीवीई-2016-6777 ए-31910462*
एन-सीवीई-2016-6777
गंभीर नेक्सस 9 3 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2015-8966 ए-31435731
अपस्ट्रीम कर्नेल
गंभीर कोई नहीं* सितम्बर 10, 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6915 ए-31471161*
एन-सीवीई-2016-6915
गंभीर नेक्सस 9 सितम्बर 13, 2016
सीवीई-2016-6916 ए-32072350*
एन-सीवीई-2016-6916
गंभीर नेक्सस 9, पिक्सेल सी सितम्बर 13, 2016
सीवीई-2016-6917 ए-32072253*
एन-सीवीई-2016-6917
गंभीर नेक्सस 9 सितम्बर 13, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-9120 ए-31568617
अपस्ट्रीम कर्नेल
गंभीर Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus प्लेयर 16 सितम्बर 2016

क्वालकॉम घटकों में कमजोरियाँ

निम्नलिखित कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और क्वालकॉम एएमएसएस नवंबर 2015 सुरक्षा बुलेटिन में आगे विस्तार से वर्णित है।

सीवीई संदर्भ तीव्रता* अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8411 ए-31805216** गंभीर नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन क्वालकॉम आंतरिक

* इन कमजोरियों की गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

** इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-4014 ए-31252187
अपस्ट्रीम कर्नेल
उच्च नेक्सस 6, नेक्सस प्लेयर 10 जून 2014

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक अलग भेद्यता के शोषण की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2015-8967 ए-31703084
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL 8 जनवरी 2015

एचटीसी साउंड कोडेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

एचटीसी साउंड कोडेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6778 ए-31384646* उच्च नेक्सस 9 फ़रवरी 25, 2016
सीवीई-2016-6779 ए-31386004* उच्च नेक्सस 9 फ़रवरी 25, 2016
सीवीई-2016-6780 ए-31251496* उच्च नेक्सस 9 30 अगस्त 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6492 ए-28175122
एमटी-एएलपीएस02696413
उच्च कोई नहीं* 11 अप्रैल 2016
सीवीई-2016-6781 ए-31095175
एमटी-एएलपीएस02943455
उच्च कोई नहीं* 22 अगस्त 2016
सीवीई-2016-6782 ए-31224389
एमटी-एएलपीएस02943506
उच्च कोई नहीं* 24 अगस्त 2016
सीवीई-2016-6783 ए-31350044
एमटी-एएलपीएस02943437
उच्च कोई नहीं* सितम्बर 6, 2016
सीवीई-2016-6784 ए-31350755
एमटी-एएलपीएस02961424
उच्च कोई नहीं* सितम्बर 6, 2016
सीवीई-2016-6785 ए-31748056
एमटी-ALPS02961400
उच्च कोई नहीं* सितम्बर 25, 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6761 ए-29421682*
क्यूसी-सीआर#1055792
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL 16 जून 2016
सीवीई-2016-6760 ए-29617572*
क्यूसी-सीआर#1055783
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL 23 जून 2016
सीवीई-2016-6759 ए-29982686*
क्यूसी-सीआर#1055766
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL 4 जुलाई 2016
सीवीई-2016-6758 ए-30148882*
क्यूसी-सीआर#1071731
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL 13 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6755 ए-30740545
क्यूसी-सीआर#1065916
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 3 अगस्त 2016

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6786 ए-30955111 अपस्ट्रीम कर्नेल उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 18 अगस्त 2016
सीवीई-2016-6787 ए-31095224 अपस्ट्रीम कर्नेल उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL 22 अगस्त 2016

मीडियाटेक I2C ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक I2C ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6788 ए-31224428
एमटी-एएलपीएस02943467
उच्च कोई नहीं* 24 अगस्त 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

NVIDIA libomx लाइब्रेरी में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA libomx लाइब्रेरी (libnvomx) में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6789 ए-31251973*
एन-सीवीई-2016-6789
उच्च पिक्सेल सी 29 अगस्त 2016
सीवीई-2016-6790 ए-31251628*
एन-सीवीई-2016-6790
उच्च पिक्सेल सी 28 अगस्त 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6791 ए-31252384
क्यूसी-सीआर#1071809
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 31 अगस्त 2016
सीवीई-2016-8391 ए-31253255
क्यूसी-सीआर#1072166
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 31 अगस्त 2016
सीवीई-2016-8392 ए-31385862
क्यूसी-सीआर#1073136
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL सितम्बर 8, 2016

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2015-7872 ए-31253168
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL 31 अगस्त 2016

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8393 ए-31911920* उच्च Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL सितम्बर 8, 2016
सीवीई-2016-8394 ए-31913197* उच्च नेक्सस 9, एंड्रॉइड वन सितम्बर 8, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-9909 ए-31676542
बी-आरबी#26684
उच्च कोई नहीं* सितम्बर 21, 2016
सीवीई-2014-9910 ए-31746399
बी-आरबी#26710
उच्च कोई नहीं* सितम्बर 26, 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

मीडियाटेक वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

मीडियाटेक वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8396 ए-31249105 उच्च कोई नहीं* 26 अगस्त 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8397 ए-31385953*
एन-सीवीई-2016-8397
उच्च नेक्सस 9 सितम्बर 8, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

जीपीएस में सेवा भेद्यता का खंडन

क्वालकॉम जीपीएस घटक में सेवा से इनकार की भेद्यता एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-5341 ए-31470303* उच्च Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL 21 जून 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA कैमरा ड्राइवर में सेवा भेद्यता का खंडन

NVIDIA कैमरा ड्राइवर में सेवा से इनकार की भेद्यता एक हमलावर को स्थानीय स्थायी सेवा से इनकार करने में सक्षम कर सकती है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है। स्थानीय स्तर पर स्थायी रूप से सेवा से इनकार की संभावना के कारण इस मुद्दे को उच्च श्रेणी का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8395 ए-31403040*
एन-सीवीई-2016-8395
उच्च पिक्सेल सी सितम्बर 9, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान कंपाइलर अनुकूलन कमजोर कोड तक पहुंच को प्रतिबंधित करता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8399 ए-31349935* मध्यम Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL सितम्बर 5, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता

कैमरा ड्राइवर और वीडियो ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-6756 ए-29464815
क्यूसी-सीआर#1042068 [ 2 ]
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 17 जून 2016
सीवीई-2016-6757 ए-30148242
क्यूसी-सीआर#1052821
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL 13 जुलाई 2016

NVIDIA librm लाइब्रेरी में सूचना प्रकटीकरण भेद्यता

NVIDIA librm लाइब्रेरी (libnvrm) में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8400 ए-31251599*
एन-सीवीई-2016-8400
मध्यम पिक्सेल सी 29 अगस्त 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता

ION सबसिस्टम, बाइंडर, USB ड्राइवर और नेटवर्किंग सबसिस्टम सहित कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8401 ए-31494725* मध्यम Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL सितम्बर 13, 2016
सीवीई-2016-8402 ए-31495231* मध्यम Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL सितम्बर 13, 2016
सीवीई-2016-8403 ए-31495348* मध्यम नेक्सस 9 सितम्बर 13, 2016
सीवीई-2016-8404 ए-31496950* मध्यम नेक्सस 9 सितम्बर 13, 2016
सीवीई-2016-8405 ए-31651010* मध्यम Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL सितम्बर 21, 2016
सीवीई-2016-8406 ए-31796940* मध्यम Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL सितम्बर 27, 2016
सीवीई-2016-8407 ए-31802656* मध्यम Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL सितम्बर 28, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8408 ए-31496571*
एन-सीवीई-2016-8408
मध्यम नेक्सस 9 सितम्बर 13, 2016
सीवीई-2016-8409 ए-31495687*
एन-सीवीई-2016-8409
मध्यम नेक्सस 9 सितम्बर 13, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम साउंड ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8410 ए-31498403
क्यूसी-सीआर#987010
मध्यम नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन गूगल आंतरिक

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।

  • 2016-12-01 या उसके बाद के सुरक्षा पैच स्तर 2016-12-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2016-12-05 या बाद के सुरक्षा पैच स्तर 2016-12-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों का समाधान करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2016-12-01]
  • [ro.build.version.security_patch]:[2016-12-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 1 दिसंबर 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
  • जो डिवाइस 5 दिसंबर 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?

2016-12-01 और 2016-12-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड Google डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी Google डिवाइस : यदि कोई समस्या सभी और पिक्सेल डिवाइसों को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "ऑल" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर, पिक्सेल सी, पिक्सेल और पिक्सेल एक्सएल।
  • कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई Google डिवाइस नहीं : यदि Android 7.0 पर चलने वाला कोई भी Google डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" होगा।

4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

संशोधन

  • 05 दिसंबर 2016: बुलेटिन प्रकाशित.
  • 07 दिसंबर 2016: सीवीई-2016-6915, सीवीई-2016-6916 और सीवीई-2016-6917 के लिए एओएसपी लिंक और अद्यतन एट्रिब्यूशन को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
  • 21 दिसंबर, 2016: सीवीई-2016-8411 विवरण और सामान्य प्रश्न और उत्तर में सही टाइपो।