Android सुरक्षा बुलेटिन-जनवरी 2017

प्रकाशित 03 जनवरी, 2017 | 2 फरवरी, 2017 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण है। बुलेटिन के साथ, हमने ओवर-द-एयर (OTA) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अद्यतन जारी किया है। Google डिवाइस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 05 जनवरी, 2017 के सुरक्षा पैच स्तर या बाद में इन सभी मुद्दों का समाधान। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए Pixel और Nexus अपडेट शेड्यूल देखें।

05 दिसंबर 2016 या उससे पहले बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी किया गया है और इस बुलेटिन से लिंक किया गया है। इस बुलेटिन में AOSP के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में से सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय कई तरीकों जैसे ईमेल, वेब ब्राउज़िंग और एमएमएस के माध्यम से एक प्रभावित डिवाइस पर दूरस्थ कोड निष्पादन को सक्षम कर सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का दोहन संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास हो गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। का संदर्भ लें Android और गूगल सेवा mitigations पर जानकारी के लिए खंड Android सुरक्षा मंच सुरक्षा और जैसे सेवा सुरक्षा SafetyNet है, जो Android मंच की सुरक्षा में सुधार।

हम सभी ग्राहकों को अपने उपकरणों के लिए इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाओं

  • इस बुलेटिन में एंड्रॉइड पार्टनर को लचीलापन प्रदान करने के लिए दो सुरक्षा पैच लेवल स्ट्रिंग्स हैं जो सभी एंड्रॉइड डिवाइसों के समान समान कमजोरियों को जल्दी से ठीक करने के लिए लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-01-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-01-01 (और पिछले सभी सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-01-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-01-01 और 2017-01-05 (और पिछले सभी सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित Google उपकरणों को 05 जनवरी, 2017 के सुरक्षा पैच स्तर के साथ एकल ओटीए अपडेट प्राप्त होगा।

सुरक्षा भेद्यता सारांश

नीचे दी गई तालिकाओं में सुरक्षा भेद्यता, सामान्य भेद्यता और एक्सपोजर आईडी (सीवीई), मूल्यांकन की गंभीरता और Google उपकरण प्रभावित होते हैं या नहीं, की एक सूची है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का दोहन संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास हो गए हैं।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेवा सुरक्षा, जैसे कि सेफ्टीनेट द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुर्व्यवहार की निगरानी करती है , जो संभावित रूप से हानिकारक अनुप्रयोगों के बारे में उपयोगकर्ताओं को चेतावनी देने के लिए डिज़ाइन की गई हैं। सत्यापित करें कि ऐप्स Google मोबाइल सेवाओं के साथ उपकरणों पर डिफ़ॉल्ट रूप से सक्षम हैं और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण हैं जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play के भीतर डिवाइस रूटिंग टूल निषिद्ध हैं, लेकिन सत्यापित ऐप्स उपयोगकर्ताओं को चेतावनी देते हैं कि जब वे पता लगाए गए रुटिंग एप्लिकेशन को स्थापित करने का प्रयास करते हैं - कोई फर्क नहीं पड़ता कि यह कहां से आता है। इसके अतिरिक्त, सत्यापित ऐप्लिकेशन उन दुर्भावनापूर्ण एप्लिकेशनों की स्थापना और पहचान करने का प्रयास करता है जो विशेषाधिकार वृद्धि की जोखिम का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो वेरिफाई ऐप्स उपयोगकर्ता को सूचित करेगा और पता किए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • उचित रूप से, Google हैंगआउट और मैसेंजर एप्लिकेशन मीडिया को मेडीसेवर जैसी प्रक्रियाओं से स्वचालित रूप से पारित नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहेंगे:

हम इस बुलेटिन में उनके योगदान के लिए निम्नलिखित शोधकर्ताओं को भी धन्यवाद देना चाहेंगे:

  • बाओज़ेंग डिंग, चेंगिंग यांग, पेंग जिओ, निंग यू, यांग डोंग, चाओ यांग, यी झांग और यांग सोंग ऑफ अलीबाबा सिक्योरिटी सिक्योरिटी ग्रुप
  • पीटर पी ( @heisecode ) ट्रेंड माइक्रो
  • गूगल के जुबिन मिश्रा

2017-01-01 सुरक्षा पैच स्तर - भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-01-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। इस मुद्दे का विवरण, एक गंभीर तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन Google डिवाइस, अपडेट किए गए AOSP संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। जब उपलब्ध होगा, हम AOSP परिवर्तन सूची की तरह बग आईडी को समस्या को संबोधित करने वाले सार्वजनिक परिवर्तन को लिंक करेंगे। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

सी-आरे में रिमोट कोड निष्पादन भेद्यता

सी-सेस में एक दूरस्थ कोड निष्पादन भेद्यता एक अनपेक्षित प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए विशेष रूप से तैयार किए गए अनुरोध का उपयोग करके एक हमलावर को सक्षम कर सकती है। इस समस्या को इस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड के निष्पादन की संभावना के कारण उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2016-5180 A-32205736 उच्च सब 7.0 है सितंबर 29, 2016

Framesequence में दूरस्थ कोड निष्पादन भेद्यता

Framesequence लाइब्रेरी में एक दूरस्थ कोड निष्पादन भेद्यता एक अनपेक्षित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके हमलावर को सक्षम कर सकती है। Framesequence लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड के निष्पादन की संभावना के कारण इस मुद्दे को उच्च के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0382 A-32338390 उच्च सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर २१, २०१६

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता की ऊंचाई

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का एक उत्थान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर तीसरे पक्ष के आवेदन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0383 A-31677614 उच्च सब 7.0, 7.1.1 है सिपाही २१, २०१६

लेखा परीक्षा में विशेषाधिकार भेद्यता की ऊंचाई

ऑडीओसर्वर में विशेषाधिकार भेद्यता का उत्थान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर तीसरे पक्ष के आवेदन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0384 A-32095626 उच्च सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर ११, २०१६
CVE-2017-0385 A-32585400 उच्च सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर ११, २०१६

Libnl में विशेषाधिकार भेद्यता की ऊंचाई

Libnl लाइब्रेरी में विशेषाधिकार भेद्यता का उत्थान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर तीसरे पक्ष के आवेदन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0386 A-32255299 उच्च सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर १,, २०१६

Mediaserver में विशेषाधिकार सुरक्षा की ऊंचाई

मेडिसेरवर में विशेषाधिकार भेद्यता का एक उत्थान एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर तीसरे पक्ष के आवेदन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0387 A-32660278 उच्च सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 4 नवंबर 2016

बाहरी संग्रहण प्रदाता में सूचना प्रकटीकरण भेद्यता

बाहरी संग्रहण प्रदाता में एक सूचना प्रकटीकरण भेद्यता स्थानीय उपयोगकर्ता को प्राथमिक उपयोगकर्ता द्वारा डाले गए बाहरी भंडारण एसडी कार्ड से डेटा पढ़ने में सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0388 A-32523490 उच्च सब 6.0, 6.0.1, 7.0, 7.1.1 Google आंतरिक

कोर नेटवर्किंग में सेवा भेद्यता से इनकार

कोर नेटवर्किंग में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को विशेष रूप से तैयार किए गए नेटवर्क पैकेट का उपयोग करने के लिए सक्षम कर सकता है ताकि डिवाइस हैंग या रिबूट हो सके। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0389 A-31850211 [ 2 ] [ 3 ] उच्च सब 6.0, 6.0.1, 7.0, 7.1.1 जुलाई २०१६

मध्यस्थता में सेवा भेद्यता से इनकार

मेडिसेरवर में सेवा भेद्यता का खंडन एक दूरस्थ हमलावर को डिवाइस हैंग या रिबूट के कारण विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0390 A-31647370 उच्च सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 19 सितंबर 2016
CVE-2017-0391 A-32322258 उच्च सब 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर २०१६
CVE-2017-0392 A-32577290 उच्च सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर 29, 2016
CVE-2017-0393 A-30436808 उच्च सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Google आंतरिक

टेलीफोनी में सेवा भेद्यता से इनकार

टेलीफोनी में सेवा भेद्यता का खंडन एक दूरस्थ हमलावर को डिवाइस हैंग या रिबूट करने में सक्षम बना सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0394 A-31752213 उच्च सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 सितंबर 2016

संपर्क में विशेषाधिकार भेद्यता की ऊंचाई

संपर्क में विशेषाधिकार भेद्यता की एक ऊंचाई संपर्क जानकारी को चुपचाप बनाने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में मूल्यांकित किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं (कार्यक्षमता तक पहुंच के लिए एक स्थानीय बायपास है जो आमतौर पर उपयोगकर्ता की दीक्षा या उपयोगकर्ता की अनुमति की आवश्यकता होती है)।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0395 A-32219099 उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 15 अक्टूबर 2016

मेडिसर्वर में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मॉडरेट का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0381 A-31607432 उदारवादी सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 सिपाही १,, २०१६
CVE-2017-0396 A-31781965 उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 27 सितंबर 2016
CVE-2017-0397 A-32377688 उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर २१, २०१६

ऑडिसरवर में सूचना प्रकटीकरण भेद्यता

ऑडिओसेवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मॉडरेट का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण अपडेटेड AOSP संस्करण तारीख की सूचना दी
CVE-2017-0398 A-32438594 उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर २५, २०१६
CVE-2017-0398 A-32635664 उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर २५, २०१६
CVE-2017-0398 A-32624850 उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर २५, २०१६
CVE-2017-0399 A-32247948 [ 2 ] उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर १,, २०१६
CVE-2017-0400 A-32584034 [ 2 ] उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर २५, २०१६
CVE-2017-0401 A-32448258 उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर २६, २०१६
CVE-2017-0402 A-32436341 [ 2 ] उदारवादी सब 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर २५, २०१६

2017-01-05 सुरक्षा पैच स्तर - भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं, जो 2017-01-05 पैच स्तर पर लागू होती हैं। इस मुद्दे का विवरण, एक गंभीर तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन Google डिवाइस, अपडेट किए गए AOSP संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक कर देंगे, जिसने बग आईडी को समस्या को संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब कई परिवर्तन एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2015-3288 A-32460277
अपस्ट्रीम कर्नेल
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL जुलाई 9, 2015

क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता की ऊंचाई

क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8422 A-31471220
QC-CR # 979426
नाजुक Nexus 6, Nexus 6P, Pixel, Pixel XL जुलाई २२, २०१६
CVE-2016-8423 A-31399736
QC-CR # 1000546
नाजुक Nexus 6P, Pixel, Pixel XL अगस्त 24, 2016

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2015-5706 A-32289301
अपस्ट्रीम कर्नेल
नाजुक कोई नहीं * अगस्त १, २०१६

* एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8424 A-31606947 *
एन-सीवीई-2016-8424
नाजुक नेक्सस 9 17 सितंबर 2016
CVE-2016-8425 A-31797770 *
एन-सीवीई-2016-8425
नाजुक नेक्सस 9 28 सितंबर 2016
CVE-2016-8426 A-31799206 *
एन-सीवीई-2016-8426
नाजुक नेक्सस 9 28 सितंबर 2016
CVE-2016-8482 A-31799863 *
एन-सीवीई-2016-8482
नाजुक नेक्सस 9 28 सितंबर 2016
CVE-2016-8427 A-31799885 *
एन-सीवीई-2016-8427
नाजुक नेक्सस 9 28 सितंबर, 2016
CVE-2016-8428 A-31993456 *
एन-सीवीई-2016-8428
नाजुक नेक्सस 9 अक्टूबर 6, 2016
CVE-2016-8429 A-32160775 *
एन-सीवीई-2016-8429
नाजुक नेक्सस 9 13 अक्टूबर 2016
CVE-2016-8430 A-32225180 *
एन-सीवीई-2016-8430
नाजुक नेक्सस 9 अक्टूबर 17, 2016
CVE-2016-8431 A-32402179 *
एन-सीवीई-2016-8431
नाजुक पिक्सेल सी अक्टूबर २५, २०१६
CVE-2016-8432 A-32447738 *
एन-सीवीई-2016-8432
नाजुक पिक्सेल सी अक्टूबर २६, २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

MediaTek ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

MediaTek ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8433 A-31750190 *
MT-ALPS02974192
नाजुक कोई नहीं ** 24 सितंबर 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

क्वालकॉम GPU ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

क्वालकॉम GPU ड्राइवर में विशेषाधिकार भेद्यता का एक बड़ा हिस्सा कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8434 A-32125137
QC-CR # 1081855
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Android One 12 अक्टूबर 2016

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2016-8435 A-32700935 *
एन-सीवीई-2016-8435
नाजुक पिक्सेल सी 7 नवंबर 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार सुरक्षा की ऊंचाई

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार की भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। स्थानीय स्थायी डिवाइस समझौता होने की संभावना के कारण इस मुद्दे को महत्वपूर्ण माना जाता है, जिससे डिवाइस को ठीक करने के लिए ऑपरेटिंग सिस्टम को फिर से भरना पड़ सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2016-8436 A-32450261
QC-CR # 1007860
नाजुक कोई नहीं * 13 अक्टूबर 2016

* एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

क्वालकॉम घटकों में कमजोरियाँ

निम्नलिखित भेद्यता क्वालकॉम घटकों को प्रभावित करती है और क्वालकॉम एएमएसएस नवंबर 2015, अगस्त 2016, सितंबर 2016, और अक्टूबर 2016 सुरक्षा बुलेटिन में आगे विस्तार से वर्णित है।

सीवीई संदर्भ तीव्रता* अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8438 A-31624565 ** नाजुक कोई नहीं *** क्वालकॉम आंतरिक
CVE-2016-8442 A-31625910 ** नाजुक कोई नहीं *** क्वालकॉम आंतरिक
CVE-2016-8443 A-32576499 ** नाजुक कोई नहीं *** क्वालकॉम आंतरिक
CVE-2016-8437 A-31623057 ** उच्च कोई नहीं *** क्वालकॉम आंतरिक
CVE-2016-8439 A-31625204 ** उच्च कोई नहीं *** क्वालकॉम आंतरिक
CVE-2016-8440 A-31625306 ** उच्च कोई नहीं *** क्वालकॉम आंतरिक
CVE-2016-8441 A-31625904 ** उच्च कोई नहीं *** क्वालकॉम आंतरिक
CVE-2016-8398 A-31548486 ** उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One क्वालकॉम आंतरिक
CVE-2016-8459 A-32577972 ** उच्च कोई नहीं *** क्वालकॉम आंतरिक
CVE-2016-5080 A-31115235 ** उदारवादी नेक्सस 5 एक्स क्वालकॉम आंतरिक

* इन कमजोरियों के लिए गंभीरता की रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

** इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

*** एंड्रॉइड 7.0 पर Google उपकरणों का समर्थन किया या बाद में सभी उपलब्ध अपडेट स्थापित किए हैं जो इस भेद्यता से प्रभावित नहीं हैं।

क्वालकॉम कैमरा में विशेषाधिकार भेद्यता की ऊंचाई

क्वालकॉम कैमरे में विशेषाधिकार की भेद्यता का एक बड़ा हिस्सा कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8412 A-31225246
QC-CR # 1071891
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL अगस्त २६, २०१६
CVE-2016-8444 A-31243641 *
QC-CR # 1074310
उच्च Nexus 5X, Nexus 6, Nexus 6P अगस्त २६, २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

MediaTek घटकों में विशेषाधिकार भेद्यता की ऊंचाई

थर्मल ड्राइवर और वीडियो ड्राइवर सहित मीडियाटेक घटकों में विशेषाधिकार भेद्यता की एक ऊंचाई, कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8445 A-31747590 *
MT-ALPS02968983
उच्च कोई नहीं ** सिपाही २५, २०१६
CVE-2016-8446 A-31747749 *
MT-ALPS02968909
उच्च कोई नहीं ** सिपाही २५, २०१६
CVE-2016-8447 A-31749463 *
MT-ALPS02968886
उच्च कोई नहीं ** सिपाही २५, २०१६
CVE-2016-8448 A-31791148 *
MT-ALPS02982181
उच्च कोई नहीं ** 28 सितंबर 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार सुरक्षा की ऊंचाई

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार की भेद्यता का एक बड़ा हिस्सा कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8415 A-31750554
QC-CR # 1079596
उच्च Nexus 5X, Pixel, Pixel XL 26 सितंबर 2016

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8449 A-31798848 *
एन-सीवीई-2016-8449
उच्च नेक्सस 9 28 सितंबर 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता की ऊंचाई

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का एक बड़ा हिस्सा कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8450 A-32450563
QC-CR # 880388
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One 13 अक्टूबर 2016

सिनैप्टिक्स टचस्क्रीन चालक में विशेषाधिकार सुरक्षा की ऊंचाई

Synaptics टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8451 A-32178033 * उच्च कोई नहीं ** 13 अक्टूबर 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** एंड्रॉइड 7.0 पर या बाद में सभी उपलब्ध अपडेट स्थापित करने वाले Google डिवाइस इस भेद्यता से प्रभावित नहीं हैं।

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में मूल्यांकित किया गया है क्योंकि पहले इसे एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-7042 A-32178986
अपस्ट्रीम कर्नेल
उच्च पिक्सेल सी 14 अक्टूबर 2016

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2017-0403 A-32402548 * उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL अक्टूबर २५, २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2017-0404 A-32510733 * उच्च Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL अक्टूबर २,, २०१६

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार सुरक्षा की ऊंचाई

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार की भेद्यता का एक बड़ा हिस्सा कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-8452 A-32506396
QC-CR # 1050323
उच्च Nexus 5X, Android One, Pixel, Pixel XL अक्टूबर २,, २०१६

क्वालकॉम रेडियो चालक में विशेषाधिकार भेद्यता की ऊंचाई

क्वालकॉम रेडियो चालक में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतित Google उपकरण तारीख की सूचना दी
CVE-2016-5345 A-32639452
QC-CR # 1079713
उच्च एंड्रॉयड वन 3 नवंबर 2016

कर्नेल प्रोफाइलिंग सबसिस्टम में विशेषाधिकार भेद्यता की ऊंचाई

कर्नेल प्रोफाइलिंग सबसिस्टम में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2016-9754 A-32659848
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर 4 नवंबर 2016

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार सुरक्षा की ऊंचाई

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता की एक ऊंचाई कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसमें पहले किसी विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google उपकरण तारीख की सूचना दी
CVE-2016-8453 A-24739315 *
बी-आरबी # 73392
उच्च नेक्सस 6 Google आंतरिक
CVE-2016-8454 A-32174590 *
बी-आरबी # 107142
उच्च Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus प्लेयर 14 अक्टूबर 2016
CVE-2016-8455 A-32219121 *
बी-आरबी # 106311
उच्च नेक्सस 6 पी 15 अक्टूबर 2016
CVE-2016-8456 A-32219255 *
बी-आरबी # 105580
उच्च Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus प्लेयर 15 अक्टूबर 2016
CVE-2016-8457 A-32219453 *
बी-आरबी # 106116
उच्च Nexus 6, Nexus 6P, Nexus 9, Pixel C 15 अक्टूबर 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Synaptics touchscreen driver

An elevation of privilege vulnerability in the Synaptics touchscreen driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8458 A-31968442* High Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA video driver

An information disclosure vulnerability in the NVIDIA video driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8460 A-31668540*
N-CVE-2016-8460
High Nexus 9 Sep 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in bootloader

An information disclosure vulnerability in the bootloader could enable a local attacker to access data outside of its permission level. This issue is rated as High because it could be used to access sensitive data.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8461 A-32369621* High Nexus 9, Pixel, Pixel XL Oct 21, 2016
CVE-2016-8462 A-32510383* High Pixel, Pixel XL Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in Qualcomm FUSE file system

A denial of service vulnerability in the Qualcomm FUSE file system could enable a remote attacker to use a specially crafted file to cause a device hang or reboot. This issue is rated as High due to the possibility of remote denial of service.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8463 A-30786860
QC-CR#586855
High None* Jan 03, 2014

* Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Denial of service vulnerability in bootloader

A denial of service vulnerability in the bootloader could enable an attacker to cause a local permanent denial of service, which may require reflashing the operating system to repair the device. This issue is rated as High due to the possibility of local permanent denial of service.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8467 A-30308784* High Nexus 6, Nexus 6P Jun 29, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Broadcom Wi-Fi driver

An elevation of privilege vulnerability in the Broadcom Wi-Fi driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8464 A-29000183*
B-RB#106314
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player May 26, 2016
CVE-2016-8466 A-31822524*
B-RB#105268
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Sep 28, 2016
CVE-2016-8465 A-32474971*
B-RB#106053
Moderate Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player Oct 27, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Binder

An elevation of privilege vulnerability in Binder could enable a local malicious application to execute arbitrary code within the context of a privileged process. This issue is rated as Moderate because it first requires compromising a privileged process and is mitigated by current platform configurations.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8468 A-32394425* Moderate Pixel C, Pixel, Pixel XL Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8469 A-31351206*
N-CVE-2016-8469
Moderate Nexus 9 Sep 7, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek driver

An information disclosure vulnerability in the MediaTek driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8470 A-31528889*
MT-ALPS02961395
Moderate None** Sep 15, 2016
CVE-2016-8471 A-31528890*
MT-ALPS02961380
Moderate None** Sep 15, 2016
CVE-2016-8472 A-31531758*
MT-ALPS02961384
Moderate None** Sep 15, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

** Supported Google devices on Android 7.0 or later that have installed all available updates are not affected by this vulnerability.

Information disclosure vulnerability in STMicroelectronics driver

An information disclosure vulnerability in the STMicroelectronics driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8473 A-31795790* Moderate Nexus 5X, Nexus 6P Sep 28, 2016
CVE-2016-8474 A-31799972* Moderate Nexus 5X, Nexus 6P Sep 28, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm audio post processor

An information disclosure vulnerability in the Qualcomm audio post processor could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it could be used to access sensitive data without permission.

CVE References तीव्रता Updated Google devices Updated AOSP versions Date reported
CVE-2017-0399 A-32588756 [ 2 ] Moderate सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 18, 2016
CVE-2017-0400 A-32438598 [ 2 ] Moderate सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016
CVE-2017-0401 A-32588016 Moderate सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 26, 2016
CVE-2017-0402 A-32588352 [ 2 ] Moderate सब 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 Oct 25, 2016

Information disclosure vulnerability in HTC input driver

An information disclosure vulnerability in the HTC input driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

CVE References तीव्रता Updated Google devices Date reported
CVE-2016-8475 A-32591129* Moderate Pixel, Pixel XL Oct 30, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Denial of service vulnerability in kernel file system

A denial of service vulnerability in the kernel file system could enable a local malicious application to cause a device hang or reboot. This issue is rated as Moderate because it is a temporary denial of service that requires a factory reset to fix.

CVE References तीव्रता Updated Google devices Date reported
CVE-2014-9420 A-32477499
Upstream kernel
Moderate Pixel C Dec 25, 2014

Common Questions and Answers

This section answers common questions that may occur after reading this bulletin.

1. How do I determine if my device is updated to address these issues?

To learn how to check a device's security patch level, read the instructions on the Pixel and Nexus update schedule .

  • Security patch levels of 2017-01-01 or later address all issues associated with the 2017-01-01 security patch level.
  • Security patch levels of 2017-01-05 or later address all issues associated with the 2017-01-05 security patch level and all previous patch levels.

Device manufacturers that include these updates should set the patch string level to:

  • [ro.build.version.security_patch]:[2017-01-01]
  • [ro.build.version.security_patch]:[2017-01-05]

2. Why does this bulletin have two security patch levels?

This bulletin has two security patch levels so that Android partners have the flexibility to fix a subset of vulnerabilities that are similar across all Android devices more quickly. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level.

  • Devices that use the January 1, 2017 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins.
  • Devices that use the security patch level of January 5, 2017 or newer must include all applicable patches in this (and previous) security bulletins.

Partners are encouraged to bundle the fixes for all issues they are addressing in a single update.

3. How do I determine which Google devices are affected by each issue?

In the 2017-01-01 and 2017-01-05 security vulnerability details sections, each table has an Updated Google devices column that covers the range of affected Google devices updated for each issue. This column has a few options:

  • All Google devices : If an issue affects All and Pixel devices, the table will have "All" in the Updated Google devices column. "All" encapsulates the following supported devices : Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, and Pixel XL.
  • Some Google devices : If an issue doesn't affect all Google devices, the affected Google devices are listed in the Updated Google devices column.
  • No Google devices : If no Google devices running the latest available version of Android are affected by the issue, the table will have "None" in the Updated Google devices column.

4. What do the entries in the references column map to?

Entries under the References column of the vulnerability details table may contain a prefix identifying the organization to which the reference value belongs. These prefixes map as follows:

Prefix Reference
A- Android bug ID
QC- Qualcomm reference number
M- MediaTek reference number
N- NVIDIA reference number
B- Broadcom reference number

Revisions

  • January 03, 2017: Bulletin published.
  • January 04, 2017: Bulletin revised to include AOSP links.
  • January 05, 2017: Clarified AOSP version number from 7.1 to 7.1.1.
  • January 12, 2017: Removed duplicate entry for CVE-2016-8467.
  • January 24, 2017: Updated description and severity for CVE-2017-0381.
  • February 2, 2017: Updated CVE-2017-0389 with additional patch link.