पब्लिश करने की तारीख: 03 जनवरी, 2017 | अपडेट करने की तारीख: 02 फ़रवरी, 2017
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. इस सूचना के साथ ही, हमने Google डिवाइसों के लिए, ओवर-द-एयर (ओटीए) अपडेट के ज़रिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Google डिवाइस के फ़र्मवेयर की इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. 05 जनवरी, 2017 या उसके बाद के सिक्योरिटी पैच लेवल, इन सभी समस्याओं को हल करते हैं. किसी डिवाइस के सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.
पार्टनर को 05 दिसंबर, 2016 या उससे पहले, बुलेटिन में बताई गई समस्याओं के बारे में सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए गए हैं और इस सूचना से लिंक किए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और SafetyNet जैसी सेवा से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
सूचनाएं
- इस सूचना में, सिक्योरिटी पैच लेवल की दो स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और उनके जवाब देखें:
- 01-01-2017: सुरक्षा पैच के लेवल की स्ट्रिंग का कुछ हिस्सा. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-01-2017 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-01-2017: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. इस सिक्योरिटी पैच लेवल की स्ट्रिंग से पता चलता है कि 01-01-2017 और 05-01-2017 (और सिक्योरिटी पैच लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- जिन Google डिवाइसों पर यह सुविधा काम करती है उन्हें 05 जनवरी, 2017 के सुरक्षा पैच लेवल के साथ एक ओटीए अपडेट मिलेगा.
सुरक्षा से जुड़े जोखिम की खास जानकारी
नीचे दी गई टेबल में, सुरक्षा से जुड़ी जोखिम की आशंकाओं की सूची, सामान्य जोखिम की आशंका और एक्सपोज़र आईडी (सीवीई), गंभीरता का आकलन, और Google डिवाइसों पर असर पड़ा है या नहीं, इसकी जानकारी दी गई है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए कमज़ोरी को कम करने वाली सुविधाएं बंद हैं या नहीं या उन्हें बायपास किया गया है या नहीं.
Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. इन सुविधाओं को, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है. Google Mobile Services वाले डिवाइसों पर, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं. Google Play पर, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले टूल उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने की सुविधा, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर, उपयोगकर्ताओं को चेतावनी देती है. भले ही, वह ऐप्लिकेशन किसी भी सोर्स से डाउनलोड किया गया हो. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा के जोखिम का फ़ायदा उठाते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, Mediaserver जैसी प्रोसेस को मीडिया को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Alexandru Blanda: CVE-2017-0390
- Copperhead Security के डेनियल माइके: CVE-2017-0397
- Tencent के Xuanwu Lab के डाक्सिंग गुओ (@freener0): CVE-2017-0386
- derrek (@derrekr6): CVE-2017-0392
- Tencent के KeenLab (@keen_lab) के डि शेन (@returnsme): CVE-2016-8412, CVE-2016-8444, CVE-2016-8427, CVE-2017-0403
- यूनिवर्सिटी ऑफ़ कैलिफ़ोर्निया, सैंटा बारबरा की Shellphish Grill Team के donfos (अरविंद माचीरी): CVE-2016-8448, CVE-2016-8470, CVE-2016-8471, CVE-2016-8472
- MS509Team के En He (@heeeeen4x): CVE-2017-0394
- Gengjia Chen (@chengjia4574) और pjf, IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2016-8464
- Google WebM टीम: CVE-2017-0393
- Qihoo 360 Technology Co. Ltd. की Alpha टीम के, @oldfresher के गुआंग गोंग (龚广): CVE-2017-0387
- Qihoo 360 Technology Co. Ltd. की Alpha Team के Hao Chen और Guang Gong: CVE-2016-8415, CVE-2016-8454, CVE-2016-8455, CVE-2016-8456, CVE-2016-8457, CVE-2016-8465
- Qihoo 360 के IceSword Lab के ज़ियाओ जियांग (@jianqiangzhao) और pjf: CVE-2016-8475
- जॉन सॉयर (@jcase) और शॉन बेउप्री (@firewaterdevs): CVE-2016-8462
- जॉन सॉयर (@jcase), शॉन बेउप्रे (@firewaterdevs), और बेन ऐक्टिस (@Ben_RA): CVE-2016-8461
- C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), यूकी लू (@nikos233), चियाचीह वू (@chiachih_wu), और जूशियन जियांग: CVE-2017-0383
- Monk Avel: CVE-2017-0396, CVE-2017-0399
- Trend Micro के पीटर पाई (@heisecode): CVE-2016-8469, CVE-2016-8424, CVE-2016-8428, CVE-2016-8429, CVE-2016-8460, CVE-2016-8473, CVE-2016-8474
- क्विनलैब, tencent (腾讯科恩实验室) के @flanker_hqd के हे क्विडन (何淇丹): CVE-2017-0382
- IBM Security X-Force के रोई हे और माइकल गोबरमैन: CVE-2016-8467
- Trend Micro की मोबाइल थ्रेट रिसर्च टीम के सदस्य, Seven Shen (@lingtongshen): CVE-2016-8466
- स्टीफ़न मोरो: CVE-2017-0389
- Trend Micro की मोबाइल खतरे से जुड़ी रिसर्च टीम के वी.ई.ओ. (@VYSEa): CVE-2017-0381
- Alibaba Inc. के वेईचाओ सुन (@sunblate): CVE-2017-0391
- Wenke Dou, Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2017-0402, CVE-2017-0398
- Wenke Dou, Hanxiang Wen, Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2017-0400
- Wenke Dou, Hongli Han, Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2017-0384, CVE-2017-0385
- Wenke Dou, Yuqi Lu (@nikos233), Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2017-0401
- C0RE टीम के Yao Jun, Yuan-Tsung Lo, Chiachih Wu (@chiachih_wu), और Xuxian Jiang: CVE-2016-8431, CVE-2016-8432, CVE-2016-8435
- Alibaba Inc. के @ThomasKing2014 और जून चेन: CVE-2017-0404
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2016-8425, CVE-2016-8426, CVE-2016-8449
- Yuan-Tsung Lo, Yanfeng Wang, Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2016-8430, CVE-2016-8482
- Tencent Security Platform Department के @Xbalien29: CVE-2017-0395
- Cheetah Mobile की सुरक्षा रिसर्च लैब के ज़हानपिंग झाओ (行之) (@0xr0ot): CVE-2016-8451
इस बुलेटिन में योगदान देने वाले इन शोधकर्ताओं का भी हम धन्यवाद करना चाहते हैं:
- Alibaba Mobile Security Group के बाओज़ेंग डिंग, चेनिमिंग यांग, पेंग ज़ियाओ, निंग यू, यांग डोंग, चाओ यांग, यी झांग, और यांग सॉन्ग
- Trend Micro के पीटर पाई (@heisecode)
- Google के ज़ुबिन मित्रा
01-01-2017 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-01-2017 के पैच लेवल पर लागू होती है. इसमें समस्या की जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
c-ares में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
c-ares में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी समस्या की वजह से, कोई हैकर खास तौर पर तैयार किए गए अनुरोध का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. इस लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन में, रिमोट कोड एक्ज़ीक्यूशन की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-5180 | A-32205736 | ज़्यादा | सभी | 7.0 | 29 सितंबर, 2016 |
फ़्रेमसीक्वेंस में, रिमोट कोड को चलाने से जुड़ी जोखिम
Framesequence लाइब्रेरी में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी एक समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि Framesequence लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन में रिमोट कोड लागू होने की संभावना होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0382 | A-32338390 | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 अक्टूबर, 2016 |
फ़्रेमवर्क एपीआई में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की आशंका
Framework API में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को, विशेषाधिकार वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0383 | A-31677614 | ज़्यादा | सभी | 7.0, 7.1.1 | 21 सितंबर, 2016 |
Audioserver में, ऐक्सेस लेवल की सुविधा से जुड़ी जोखिम
Audioserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0384 | A-32095626 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 अक्टूबर, 2016 |
| CVE-2017-0385 | A-32585400 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 अक्टूबर, 2016 |
libnl में प्रिविलेज एस्कलेशन की जोखिम
libnl लाइब्रेरी में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0386 | A-32255299 | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 अक्टूबर, 2016 |
Mediaserver में, ऐक्सेस लेवल को बढ़ाने से जुड़ी जोखिम की आशंका
Mediaserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0387 | A-32660278 | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 4 नवंबर, 2016 |
बाहरी स्टोरेज की सेवा देने वाली कंपनी के पास, उपयोगकर्ता की जानकारी ज़ाहिर करने की जोखिम
बाहरी स्टोरेज की सेवा देने वाली कंपनी के पास, उपयोगकर्ता की जानकारी को ज़ाहिर करने की जोखिम हो सकती है. इससे, डिवाइस का इस्तेमाल करने वाला दूसरा व्यक्ति, मुख्य उपयोगकर्ता के डाले गए बाहरी स्टोरेज वाले एसडी कार्ड का डेटा पढ़ सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0388 | A-32523490 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | सिर्फ़ Google के लिए |
कोर नेटवर्किंग में सेवा में रुकावट की कमजोरी
कोर नेटवर्किंग में सेवा में रुकावट की समस्या की वजह से, रिमोट हमलावर खास तौर पर बनाए गए नेटवर्क पैकेट का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'ज़्यादा' रेटिंग दी गई है, क्योंकि इसकी वजह से सेवा में रुकावट आ सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0389 | A-31850211 [2] [3] | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 20 जुलाई, 2016 |
Mediaserver में सेवा में रुकावट की संवेदनशीलता
Mediaserver में सेवा में रुकावट से जुड़ी समस्या की वजह से, रिमोट से हमला करने वाला व्यक्ति, डिवाइस को हैंग करने या रीबूट करने के लिए, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल कर सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेटिंग दी गई है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0390 | A-31647370 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 19 सितंबर, 2016 |
| CVE-2017-0391 | A-32322258 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 20 अक्टूबर, 2016 |
| CVE-2017-0392 | A-32577290 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 29 अक्टूबर, 2016 |
| CVE-2017-0393 | A-30436808 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | सिर्फ़ Google के लिए |
टेलीफ़ोन सेवा में, सेवा में रुकावट की कमज़ोरी
Telephony में, सेवा अस्वीकार करने की समस्या की वजह से, हमलावर किसी डिवाइस को रिमोट से हैंग या रीबूट कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0394 | A-31752213 | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 23 सितंबर, 2016 |
Contacts में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
Contacts में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, स्थानीय तौर पर मौजूद नुकसान पहुंचाने वाले ऐप्लिकेशन को चुपचाप संपर्क जानकारी बनाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है. जैसे, ऐसी सुविधाओं का ऐक्सेस जिनके लिए आम तौर पर उपयोगकर्ता की ओर से शुरू करने या अनुमति देने की ज़रूरत होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0395 | A-32219099 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 अक्टूबर, 2016 |
Mediaserver में, जानकारी ज़ाहिर होने से जुड़ी जोखिम की आशंका
Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0381 | A-31607432 | काफ़ी हद तक ठीक है | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 सितंबर, 2016 |
| CVE-2017-0396 | A-31781965 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 27 सितंबर, 2016 |
| CVE-2017-0397 | A-32377688 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 21 अक्टूबर, 2016 |
Audioserver में जानकारी ज़ाहिर करने से जुड़ी जोखिम
Audioserver में जानकारी ज़ाहिर करने की समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0398 | A-32438594 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 अक्टूबर, 2016 |
| CVE-2017-0398 | A-32635664 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 अक्टूबर, 2016 |
| CVE-2017-0398 | A-32624850 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 अक्टूबर, 2016 |
| CVE-2017-0399 | A-32247948 [2] | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 अक्टूबर, 2016 |
| CVE-2017-0400 | A-32584034 [2] | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 अक्टूबर, 2016 |
| CVE-2017-0401 | A-32448258 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 अक्टूबर, 2016 |
| CVE-2017-0402 | A-32436341 [2] | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 अक्टूबर, 2016 |
05-01-2017 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-01-2017 के पैच लेवल पर लागू होती हैं. इसमें समस्या की जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
कर्नेल मेमोरी सबसिस्टम में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम की आशंका
कर्नेल मेमोरी सबसिस्टम में, विशेष सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-3288 | A-32460277 अपस्ट्रीम कर्नेल |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 9 जुलाई, 2015 |
Qualcomm बूटलोडर में प्रिविलेज एस्कलेशन की समस्या
Qualcomm बूटलोडर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8422 | A-31471220 QC-CR#979426 |
सबसे अहम | Nexus 6, Nexus 6P, Pixel, Pixel XL | 22 जुलाई, 2016 |
| CVE-2016-8423 | A-31399736 QC-CR#1000546 |
सबसे अहम | Nexus 6P, Pixel, Pixel XL | 24 अगस्त, 2016 |
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस की जोखिम
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-5706 | A-32289301 अपस्ट्रीम कर्नेल |
सबसे अहम | कोई नहीं* | 1 अगस्त, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
NVIDIA जीपीयू ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
NVIDIA जीपीयू ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमजोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8424 | A-31606947* N-CVE-2016-8424 |
सबसे अहम | Nexus 9 | 17 सितंबर, 2016 |
| CVE-2016-8425 | A-31797770* N-CVE-2016-8425 |
सबसे अहम | Nexus 9 | 28 सितंबर, 2016 |
| CVE-2016-8426 | A-31799206* N-CVE-2016-8426 |
सबसे अहम | Nexus 9 | 28 सितंबर, 2016 |
| CVE-2016-8482 | A-31799863* N-CVE-2016-8482 |
सबसे अहम | Nexus 9 | 28 सितंबर, 2016 |
| CVE-2016-8427 | A-31799885* N-CVE-2016-8427 |
सबसे अहम | Nexus 9 | 28 सितंबर, 2016 |
| CVE-2016-8428 | A-31993456* N-CVE-2016-8428 |
सबसे अहम | Nexus 9 | 6 अक्टूबर, 2016 |
| CVE-2016-8429 | A-32160775* N-CVE-2016-8429 |
सबसे अहम | Nexus 9 | 13 अक्टूबर, 2016 |
| CVE-2016-8430 | A-32225180* N-CVE-2016-8430 |
सबसे अहम | Nexus 9 | 17 अक्टूबर, 2016 |
| CVE-2016-8431 | A-32402179* N-CVE-2016-8431 |
सबसे अहम | Pixel C | 25 अक्टूबर, 2016 |
| CVE-2016-8432 | A-32447738* N-CVE-2016-8432 |
सबसे अहम | Pixel C | 26 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
MediaTek ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
MediaTek ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8433 | A-31750190* MT-ALPS02974192 |
सबसे अहम | कोई नहीं** | 24 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Qualcomm जीपीयू ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
Qualcomm GPU ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8434 | A-32125137 QC-CR#1081855 |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Android One | 12 अक्टूबर, 2016 |
NVIDIA जीपीयू ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
NVIDIA जीपीयू ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमजोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8435 | A-32700935* N-CVE-2016-8435 |
सबसे अहम | Pixel C | 7 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm वीडियो ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Qualcomm वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8436 | A-32450261 QC-CR#1007860 |
सबसे अहम | कोई नहीं* | 13 अक्टूबर, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
Qualcomm के कॉम्पोनेंट में जोखिम की आशंकाएं
यहां दी गई कमजोरियों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm AMSS के नवंबर 2015, अगस्त 2016, सितंबर 2016, और अक्टूबर 2016 के सुरक्षा बुलेटिन में दी गई है.
| CVE | रेफ़रंस | गंभीरता* | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8438 | A-31624565** | सबसे अहम | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8442 | A-31625910** | सबसे अहम | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8443 | A-32576499** | सबसे अहम | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8437 | A-31623057** | ज़्यादा | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8439 | A-31625204** | ज़्यादा | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8440 | A-31625306** | ज़्यादा | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8441 | A-31625904** | ज़्यादा | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8398 | A-31548486** | ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One | Qualcomm इंटरनल |
| CVE-2016-8459 | A-32577972** | ज़्यादा | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-5080 | A-31115235** | काफ़ी हद तक ठीक है | Nexus 5X | Qualcomm इंटरनल |
* इन जोखिमों की गंभीरता की रेटिंग, वेंडर ने तय की है.
** इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
*** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Qualcomm कैमरे में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
Qualcomm कैमरे में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8412 | A-31225246 QC-CR#1071891 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 26 अगस्त, 2016 |
| CVE-2016-8444 | A-31243641* QC-CR#1074310 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P | 26 अगस्त, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
MediaTek कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
MediaTek के कॉम्पोनेंट में, विशेषाधिकार बढ़ाने की समस्या है. इसमें थर्मल ड्राइवर और वीडियो ड्राइवर भी शामिल हैं. इस समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8445 | A-31747590* MT-ALPS02968983 |
ज़्यादा | कोई नहीं** | 25 सितंबर, 2016 |
| CVE-2016-8446 | A-31747749* MT-ALPS02968909 |
ज़्यादा | कोई नहीं** | 25 सितंबर, 2016 |
| CVE-2016-8447 | A-31749463* MT-ALPS02968886 |
ज़्यादा | कोई नहीं** | 25 सितंबर, 2016 |
| CVE-2016-8448 | A-31791148* MT-ALPS02982181 |
ज़्यादा | कोई नहीं** | 28 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8415 | A-31750554 QC-CR#1079596 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 26 सितंबर, 2016 |
NVIDIA जीपीयू ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
NVIDIA जीपीयू ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमजोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8449 | A-31798848* N-CVE-2016-8449 |
ज़्यादा | Nexus 9 | 28 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm साउंड ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Qualcomm साउंड ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8450 | A-32450563 QC-CR#880388 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One | 13 अक्टूबर, 2016 |
Synaptics टचस्क्रीन ड्राइवर में, विशेषाधिकार हासिल करने की सुविधा से जुड़ी जोखिम
Synaptics टचस्क्रीन ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8451 | A-32178033* | ज़्यादा | कोई नहीं** | 13 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
कर्नेल सुरक्षा सबसिस्टम में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम
कर्नेल के सुरक्षा सबसिस्टम में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-7042 | A-32178986 अपस्ट्रीम कर्नेल |
ज़्यादा | Pixel C | 14 अक्टूबर, 2016 |
कर्नेल परफ़ॉर्मेंस सबसिस्टम में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम
कर्नेल की परफ़ॉर्मेंस वाले सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी कमज़ोरी की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में कोई भी कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0403 | A-32402548* | ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 25 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल साउंड सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
कर्नेल साउंड सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0404 | A-32510733* | ज़्यादा | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 27 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8452 | A-32506396 QC-CR#1050323 |
ज़्यादा | Nexus 5X, Android One, Pixel, Pixel XL | 28 अक्टूबर, 2016 |
Qualcomm रेडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
Qualcomm रेडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-5345 | A-32639452 QC-CR#1079713 |
ज़्यादा | Android One | 3 नवंबर, 2016 |
कर्नेल प्रोफ़ाइलिंग सबसिस्टम में, प्रिविलेज एस्कलेशन की जोखिम
कर्नेल प्रोफ़ाइलिंग सबसिस्टम में, विशेषाधिकार हासिल करने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-9754 | A-32659848 अपस्ट्रीम कर्नेल |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player | 4 नवंबर, 2016 |
Broadcom वाई-फ़ाई ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Broadcom Wi-Fi ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8453 | A-24739315* B-RB#73392 |
ज़्यादा | Nexus 6 | सिर्फ़ Google के लिए |
| CVE-2016-8454 | A-32174590* B-RB#107142 |
ज़्यादा | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 14 अक्टूबर, 2016 |
| CVE-2016-8455 | A-32219121* B-RB#106311 |
ज़्यादा | Nexus 6P | 15 अक्टूबर, 2016 |
| CVE-2016-8456 | A-32219255* B-RB#105580 |
ज़्यादा | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 15 अक्टूबर, 2016 |
| CVE-2016-8457 | A-32219453* B-RB#106116 |
ज़्यादा | Nexus 6, Nexus 6P, Nexus 9, Pixel C | 15 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Synaptics टचस्क्रीन ड्राइवर में, विशेषाधिकार हासिल करने की सुविधा से जुड़ी जोखिम
Synaptics टचस्क्रीन ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8458 | A-31968442* | ज़्यादा | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
NVIDIA वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
NVIDIA वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8460 | A-31668540* N-CVE-2016-8460 |
ज़्यादा | Nexus 9 | 21 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
बूटलोडर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
बूटलोडर में जानकारी ज़ाहिर करने की समस्या की वजह से, स्थानीय हमलावर अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8461 | A-32369621* | ज़्यादा | Nexus 9, Pixel, Pixel XL | 21 अक्टूबर, 2016 |
| CVE-2016-8462 | A-32510383* | ज़्यादा | Pixel, Pixel XL | 27 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm FUSE फ़ाइल सिस्टम में, सेवा में रुकावट की समस्या
Qualcomm FUSE फ़ाइल सिस्टम में, सेवा के अस्वीकार होने से जुड़ी एक समस्या है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, डिवाइस को हैंग करने या रीबूट करने के लिए, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल कर सकता है. इस समस्या को 'ज़्यादा' रेटिंग दी गई है, क्योंकि इसकी वजह से सेवा में रुकावट आ सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8463 | A-30786860 QC-CR#586855 |
ज़्यादा | कोई नहीं* | 03 जनवरी, 2014 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
बूटलोडर में सेवा में रुकावट की समस्या
बूटलोडर में, सेवा न मिलने की समस्या होने पर हमलावर, डिवाइस पर सेवा न मिलने की समस्या को हमेशा के लिए ठीक कर सकता है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि हो सकता है कि स्थानीय स्तर पर सेवा में हमेशा के लिए रुकावट आ जाए.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8467 | A-30308784* | ज़्यादा | Nexus 6, Nexus 6P | 29 जून, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Broadcom वाई-फ़ाई ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Broadcom Wi-Fi ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है. हालांकि, मौजूदा प्लैटफ़ॉर्म कॉन्फ़िगरेशन की मदद से, इस समस्या को कम किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8464 | A-29000183* B-RB#106314 |
काफ़ी हद तक ठीक है | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 26 मई, 2016 |
| CVE-2016-8466 | A-31822524* B-RB#105268 |
काफ़ी हद तक ठीक है | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 28 सितंबर, 2016 |
| CVE-2016-8465 | A-32474971* B-RB#106053 |
काफ़ी हद तक ठीक है | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | 27 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Binder में प्रिविलेज एस्केलेशन की समस्या
Binder में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को ऐक्सेस लेवल वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है. हालांकि, मौजूदा प्लैटफ़ॉर्म कॉन्फ़िगरेशन की वजह से, इस समस्या को कम किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8468 | A-32394425* | काफ़ी हद तक ठीक है | Pixel C, Pixel, Pixel XL | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
NVIDIA कैमरा ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
कैमरा ड्राइवर में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8469 | A-31351206* N-CVE-2016-8469 |
काफ़ी हद तक ठीक है | Nexus 9 | 7 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
MediaTek ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
MediaTek ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8470 | A-31528889* MT-ALPS02961395 |
काफ़ी हद तक ठीक है | कोई नहीं** | 15 सितंबर, 2016 |
| CVE-2016-8471 | A-31528890* MT-ALPS02961380 |
काफ़ी हद तक ठीक है | कोई नहीं** | 15 सितंबर, 2016 |
| CVE-2016-8472 | A-31531758* MT-ALPS02961384 |
काफ़ी हद तक ठीक है | कोई नहीं** | 15 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ता है जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
STMicroelectronics ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
STMicroelectronics ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8473 | A-31795790* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6P | 28 सितंबर, 2016 |
| CVE-2016-8474 | A-31799972* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6P | 28 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm के ऑडियो पोस्ट प्रोसेसर में, जानकारी ज़ाहिर करने की कमज़ोरी
Qualcomm ऑडियो पोस्ट प्रोसेसर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0399 | A-32588756 [2] | काफ़ी हद तक ठीक है | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 18 अक्टूबर, 2016 |
| CVE-2017-0400 | A-32438598 [2] | काफ़ी हद तक ठीक है | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 अक्टूबर, 2016 |
| CVE-2017-0401 | A-32588016 | काफ़ी हद तक ठीक है | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 26 अक्टूबर, 2016 |
| CVE-2017-0402 | A-32588352 [2] | काफ़ी हद तक ठीक है | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 25 अक्टूबर, 2016 |
HTC की इनपुट ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
HTC इनपुट ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8475 | A-32591129* | काफ़ी हद तक ठीक है | Pixel, Pixel XL | 30 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल फ़ाइल सिस्टम में, सेवा में रुकावट की समस्या
कर्नेल फ़ाइल सिस्टम में, सेवा अस्वीकार करने की जोखिम की आशंका होने पर, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन की वजह से डिवाइस हैंग हो सकता है या रीबूट हो सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह कुछ समय के लिए सेवा देने से रोकती है. इसे ठीक करने के लिए, फ़ैक्ट्री रीसेट करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9420 | A-32477499 अपस्ट्रीम कर्नेल |
काफ़ी हद तक ठीक है | Pixel C | 25 दिसंबर, 2014 |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.
- 01-01-2017 या उसके बाद के सुरक्षा पैच लेवल, 01-01-2017 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-01-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 05-01-2017 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-01-01]
- [ro.build.version.security_patch]:[2017-01-05]
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 1 जनवरी, 2017 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए.
- जिन डिवाइसों में 5 जनवरी, 2017 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. मुझे कैसे पता चलेगा कि हर समस्या का असर किन Google डिवाइसों पर पड़ा है?
01-01-2017 और 05-01-2017 के 'सुरक्षा से जुड़ी समस्याओं की जानकारी' सेक्शन में, हर टेबल में एक Google के अपडेट किए गए डिवाइस कॉलम होता है. इसमें, हर समस्या के लिए अपडेट किए गए उन Google डिवाइसों की जानकारी होती है जिन पर असर पड़ा है. इस कॉलम में कुछ विकल्प होते हैं:
- सभी Google डिवाइस: अगर कोई समस्या सभी और Pixel डिवाइसों पर असर डालती है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "सभी" दिखेगा. "सभी" में ये डिवाइस शामिल हैं: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, और Pixel XL.
- कुछ Google डिवाइस: अगर किसी समस्या का असर सभी Google डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Google डिवाइसों कॉलम में दी गई है.
- कोई Google डिवाइस नहीं: अगर Android के सबसे नए वर्शन पर काम करने वाले किसी भी Google डिवाइस पर इस समस्या का असर नहीं पड़ा है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" दिखेगा.
4. रेफ़रंस कॉलम में मौजूद एंट्री किससे मैप होती हैं?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है. ये प्रीफ़िक्स इस तरह मैप होते हैं:
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
संशोधन
- 03 जनवरी, 2017: बुलेटिन पब्लिश किया गया.
- 04 जनवरी, 2017: AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.
- 05 जनवरी, 2017: AOSP के वर्शन नंबर को 7.1 से 7.1.1 पर अपडेट किया गया.
- 12 जनवरी, 2017: CVE-2016-8467 के लिए डुप्लीकेट एंट्री हटाई गई.
- 24 जनवरी, 2017: CVE-2017-0381 के लिए, ब्यौरा और गंभीरता की जानकारी अपडेट की गई.
- 2 फ़रवरी, 2017: CVE-2017-0389 को अपडेट किया गया. इसमें पैच के अतिरिक्त लिंक को जोड़ा गया है.