05 अक्टूबर 2015 को प्रकाशित | 28 अप्रैल 2016 को अपडेट किया गया
हमने अपनी एंड्रॉइड सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के हिस्से के रूप में ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। LMY48T या बाद का संस्करण (जैसे LMY48W) और 1 अक्टूबर 2015 या बाद का सुरक्षा पैच स्तर वाला Android M इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें।
साझेदारों को इन मुद्दों के बारे में 10 सितंबर 2015 या उससे पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।
इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम Verify Apps और SafetyNet के साथ दुरुपयोग की सक्रिय रूप से निगरानी कर रही है जो इंस्टॉल होने वाले संभावित हानिकारक एप्लिकेशन के बारे में चेतावनी देगी। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, Verify Apps डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित ऐप्स विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की स्थापना को पहचानने और अवरुद्ध करने का प्रयास करता है। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उपयुक्त हो, Google ने हैंगआउट और मैसेंजर एप्लिकेशन को अपडेट कर दिया है ताकि मीडिया स्वचालित रूप से कमजोर प्रक्रियाओं (जैसे मीडियासर्वर) तक न पहुंच जाए।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- ब्रेनन लॉटनर: सीवीई-2015-3863
- Qihoo 360 से C0RE टीम के चियाचिह वू और ज़ुक्सियान जियांग: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Qihoo 360 से C0RE टीम के याजिन झोउ, लेई वू और ज़ुक्सियन जियांग: CVE-2015-3865
- डेनियल मिके (daniel.micay@copperhead.co) कॉपरहेड सुरक्षा पर: CVE-2015-3875
- अलीबाबा मोबाइल सुरक्षा टीम का ड्रैगनएलटीएक्स: सीवीई-2015-6599
- Google प्रोजेक्ट ज़ीरो के इयान बीयर और स्टीवन विटिटो: CVE-2015-6604
- फंडाकियोन में प्रोग्रामा एसटीआईसी के जोकिन रिनाडो (@xeroxnir) और इवान आर्से (@4Dgifts) डॉ. मैनुअल सदोस्की, ब्यूनस आयर्स अर्जेंटीना: CVE-2015-3870
- ज़िम्पेरियम के जोश ड्रेक: CVE-2015-3876, CVE-2015-6602
- एक्सोडस इंटेलिजेंस के जॉर्डन ग्रुस्कोवनजैक (@jgrusko): CVE-2015-3867
- ट्रेंड माइक्रो के पीटर पाई: CVE-2015-3872, CVE-2015-3871
- Qihoo 360 टेक्नोलॉजी कंपनी लिमिटेड के पिंग ली: CVE-2015-3878
- सेवन शेन: सीवीई-2015-6600, सीवीई-2015-3847
- Baidu एक्स-टीम का वांगताओ (नियोबाइट): CVE-2015-6598
- ट्रेंड माइक्रो इंक के विश वू (@wish_wu): CVE-2015-3823
- यूनिवर्सिटी ऑफ एप्लाइड साइंसेज, अपर ऑस्ट्रिया/हेगनबर्ग में जेआर-सेंटर यू'स्माइल के माइकल रोलैंड: सीवीई-2015-6606
हम इस बुलेटिन में तय किए गए कई मुद्दों की रिपोर्ट करने के लिए क्रोम सुरक्षा टीम, Google सुरक्षा टीम, प्रोजेक्ट ज़ीरो और Google के अन्य व्यक्तियों के योगदान को भी स्वीकार करना चाहेंगे।
सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2015-10-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। जहां उपलब्ध है, हमने एओएसपी परिवर्तन को लिंक किया है जिसने समस्या को बग आईडी से संबोधित किया है। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
लिबस्टेजफ़्राइट में रिमोट कोड निष्पादन कमजोरियाँ
लिबस्टेजफ्राइट में कमजोरियां मौजूद हैं जो एक हमलावर को मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान मीडियासर्वर सेवा में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।
विशेषाधिकार प्राप्त सेवा के रूप में रिमोट कोड निष्पादन की संभावना के कारण इन मुद्दों को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। प्रभावित घटकों के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जिन्हें तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-3873 | एंड्रॉइड-20674086 [ 2 , 3 , 4 ] | गंभीर | 5.1 और नीचे | गूगल आंतरिक |
| एंड्रॉइड-20674674 [ 2 , 3 , 4 ] | ||||
| एंड्रॉइड-20718524 | ||||
| एंड्रॉइड-21048776 | ||||
| एंड्रॉइड-21443020 | ||||
| एंड्रॉइड-21814993 | ||||
| एंड्रॉइड-22008959 | ||||
| एंड्रॉइड-22077698 | ||||
| एंड्रॉइड-22388975 | ||||
| एंड्रॉइड-22845824 | ||||
| एंड्रॉइड-23016072 | ||||
| एंड्रॉइड-23247055 | ||||
| एंड्रॉइड-23248776 | ||||
| एंड्रॉइड-20721050 | गंभीर | 5.0 और 5.1 | गूगल आंतरिक | |
| सीवीई-2015-3823 | एंड्रॉइड-21335999 | गंभीर | 5.1 और नीचे | 20 मई 2015 |
| सीवीई-2015-6600 | एंड्रॉइड-22882938 | गंभीर | 5.1 और नीचे | 31 जुलाई 2015 |
| सीवीई-2015-6601 | एंड्रॉइड-22935234 | गंभीर | 5.1 और नीचे | 3 अगस्त 2015 |
| सीवीई-2015-3869 | एंड्रॉइड-23036083 | गंभीर | 5.1 और नीचे | 4 अगस्त 2015 |
| सीवीई-2015-3870 | एंड्रॉइड-22771132 | गंभीर | 5.1 और नीचे | 5 अगस्त 2015 |
| सीवीई-2015-3871 | एंड्रॉइड-23031033 | गंभीर | 5.1 और नीचे | 6 अगस्त 2015 |
| सीवीई-2015-3868 | एंड्रॉइड-23270724 | गंभीर | 5.1 और नीचे | 6 अगस्त 2015 |
| सीवीई-2015-6604 | एंड्रॉइड-23129786 | गंभीर | 5.1 और नीचे | 11 अगस्त 2015 |
| सीवीई-2015-3867 | एंड्रॉइड-23213430 | गंभीर | 5.1 और नीचे | 14 अगस्त 2015 |
| सीवीई-2015-6603 | एंड्रॉइड-23227354 | गंभीर | 5.1 और नीचे | अगस्त 15,2015 |
| सीवीई-2015-3876 | एंड्रॉइड-23285192 | गंभीर | 5.1 और नीचे | 15 अगस्त 2015 |
| सीवीई-2015-6598 | एंड्रॉइड-23306638 | गंभीर | 5.1 और नीचे | 18 अगस्त 2015 |
| सीवीई-2015-3872 | एंड्रॉइड-23346388 | गंभीर | 5.1 और नीचे | 19 अगस्त 2015 |
| सीवीई-2015-6599 | एंड्रॉइड-23416608 | गंभीर | 5.1 और नीचे | 21 अगस्त 2015 |
सोनिवॉक्स में रिमोट कोड निष्पादन कमजोरियाँ
सोनिवॉक्स में कमजोरियां मौजूद हैं जो एक हमलावर को, विशेष रूप से तैयार की गई फ़ाइल की मीडिया फ़ाइल प्रसंस्करण के दौरान, मीडियासर्वर सेवा में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं। विशेषाधिकार प्राप्त सेवा के रूप में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जिन्हें तृतीय-पक्ष एप्लिकेशन सामान्य रूप से एक्सेस नहीं कर सकते हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-3874 | एंड्रॉइड-23335715 | गंभीर | 5.1 और नीचे | विभिन्न |
| एंड्रॉइड-23307276 [ 2 ] | ||||
| एंड्रॉइड-23286323 |
libutils में रिमोट कोड निष्पादन कमजोरियाँ
लिबुटिल्स, एक सामान्य लाइब्रेरी, में कमजोरियाँ ऑडियो फ़ाइल प्रसंस्करण में मौजूद हैं। ये कमजोरियाँ एक हमलावर को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, मीडियासर्वर जैसी इस लाइब्रेरी का उपयोग करने वाली सेवा में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।
प्रभावित कार्यक्षमता एक एप्लिकेशन एपीआई के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं। विशेषाधिकार प्राप्त सेवा में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-3875 | एंड्रॉइड-22952485 | गंभीर | 5.1 और नीचे | 15 अगस्त 2015 |
| सीवीई-2015-6602 | एंड्रॉइड-23290056 [ 2 ] | गंभीर | 5.1 और नीचे | 15 अगस्त 2015 |
स्कीया में रिमोट कोड निष्पादन भेद्यता
विशेष रूप से तैयार की गई मीडिया फ़ाइल को संसाधित करते समय स्कीया घटक में एक भेद्यता का लाभ उठाया जा सकता है, जिससे विशेषाधिकार प्राप्त प्रक्रिया में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन हो सकता है। मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई आक्रमण तरीकों के माध्यम से रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-3877 | एंड्रॉइड-20723696 | गंभीर | 5.1 और नीचे | 30 जुलाई 2015 |
libFLAC में रिमोट कोड निष्पादन कमजोरियाँ
मीडिया फ़ाइल प्रोसेसिंग में libFLAC में एक भेद्यता मौजूद है। ये कमजोरियाँ किसी हमलावर को, विशेष रूप से तैयार की गई फ़ाइल के प्रसंस्करण के दौरान, मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।
प्रभावित कार्यक्षमता एक एप्लिकेशन एपीआई के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, जैसे मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं। विशेषाधिकार प्राप्त सेवा में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। प्रभावित घटक के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-9028 | एंड्रॉइड-18872897 [ 2 ] | गंभीर | 5.1 और नीचे | 14 नवंबर 2014 |
कीस्टोर में विशेषाधिकार भेद्यता का बढ़ना
KeyStore API में कॉल करते समय किसी दुर्भावनापूर्ण एप्लिकेशन द्वारा KeyStore घटक में विशेषाधिकार भेद्यता में वृद्धि का लाभ उठाया जा सकता है। यह एप्लिकेशन KeyStore के संदर्भ में मेमोरी भ्रष्टाचार और मनमाने ढंग से कोड निष्पादन का कारण बन सकता है। इस समस्या को उच्च गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग उन विशेषाधिकारों तक पहुंचने के लिए किया जा सकता है जो किसी तीसरे पक्ष के एप्लिकेशन के लिए सीधे पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-3863 | एंड्रॉइड-22802399 | उच्च | 5.1 और नीचे | 28 जुलाई 2015 |
मीडिया प्लेयर फ्रेमवर्क में विशेषाधिकार भेद्यता का बढ़ना
मीडिया प्लेयर फ़्रेमवर्क घटक में विशेषाधिकार भेद्यता का बढ़ना किसी दुर्भावनापूर्ण एप्लिकेशन को मीडियासर्वर के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति दे सकता है। इस समस्या को उच्च गंभीरता का दर्जा दिया गया है क्योंकि यह एक दुर्भावनापूर्ण एप्लिकेशन को उन विशेषाधिकारों तक पहुंचने की अनुमति देता है जो तीसरे पक्ष के एप्लिकेशन तक पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-3879 | एंड्रॉइड-23223325 [2]* | उच्च | 5.1 और नीचे | 14 अगस्त 2015 |
* इस मुद्दे के लिए दूसरा परिवर्तन AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
एंड्रॉइड रनटाइम में विशेषाधिकार भेद्यता का बढ़ना
एंड्रॉइड रनटाइम में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-3865 | एंड्रॉइड-23050463 [ 2 ] | उच्च | 5.1 और नीचे | 8 अगस्त 2015 |
मीडियासर्वर में विशेषाधिकार कमजोरियों का बढ़ना
मीडियासर्वर में कई कमजोरियां हैं जो एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त मूल सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती हैं। इस समस्या को उच्च गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग उन विशेषाधिकारों तक पहुंचने के लिए किया जा सकता है जो किसी तीसरे पक्ष के एप्लिकेशन के लिए सीधे पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6596 | एंड्रॉइड-20731946 | उच्च | 5.1 और नीचे | विभिन्न |
| एंड्रॉइड-20719651* | ||||
| एंड्रॉइड-19573085 | उच्च | 5.0 - 6.0 | गूगल आंतरिक |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
सुरक्षित तत्व मूल्यांकन किट में विशेषाधिकार भेद्यता का उन्नयन
SEEK (सिक्योर एलिमेंट इवैल्यूएशन किट, उर्फ स्मार्टकार्ड एपीआई) प्लगइन में एक भेद्यता किसी एप्लिकेशन को अनुरोध किए बिना उन्नत अनुमतियां प्राप्त करने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6606 | एंड्रॉइड-22301786* | उच्च | 5.1 और नीचे | 30 जून 2015 |
* इस समस्या का समाधान करने वाला अपग्रेड SEEK for Android साइट पर स्थित है।
मीडिया प्रोजेक्शन में विशेषाधिकार भेद्यता का बढ़ना
मीडिया प्रोजेक्शन घटक में एक भेद्यता उपयोगकर्ता डेटा को स्क्रीन स्नैपशॉट के रूप में प्रकट करने की अनुमति दे सकती है। यह समस्या ऑपरेटिंग सिस्टम द्वारा अत्यधिक लंबे एप्लिकेशन नामों की अनुमति देने का परिणाम है। स्थानीय दुर्भावनापूर्ण एप्लिकेशन द्वारा इन लंबे नामों का उपयोग उपयोगकर्ता द्वारा स्क्रीन रिकॉर्डिंग के बारे में चेतावनी को दिखाई देने से रोक सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित रूप से उन्नत अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-3878 | एंड्रॉइड-23345192 | मध्यम | 5.0 - 6.0 | 18 अगस्त 2015 |
ब्लूटूथ में विशेषाधिकार भेद्यता का बढ़ना
एंड्रॉइड के ब्लूटूथ घटक में एक भेद्यता किसी एप्लिकेशन को संग्रहीत एसएमएस संदेशों को हटाने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित रूप से उन्नत अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-3847 | एंड्रॉइड-22343270 | मध्यम | 5.1 और नीचे | 8 जुलाई 2015 |
SQLite में विशेषाधिकार कमजोरियों का बढ़ना
SQLite पार्सिंग इंजन में अनेक कमजोरियाँ पाई गईं। इन कमजोरियों का स्थानीय एप्लिकेशन द्वारा शोषण किया जा सकता है जो किसी अन्य एप्लिकेशन या सेवा को मनमानी SQL क्वेरी निष्पादित करने का कारण बन सकता है। सफल शोषण के परिणामस्वरूप लक्ष्य एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादन हो सकता है।
8 अप्रैल, 2015 को AOSP मुख्य पर एक फिक्स अपलोड किया गया था, जिससे SQLite संस्करण को 3.8.9 में अपग्रेड किया गया: https://android-review.googlesource.com/#/c/145961/
इस बुलेटिन में Android 4.4 (SQLite 3.7.11) और Android 5.0 और 5.1 (SQLite 3.8.6) में SQLite संस्करणों के लिए पैच शामिल हैं।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6607 | एंड्रॉइड-20099586 | मध्यम | 5.1 और नीचे | 7 अप्रैल 2015 सार्वजनिक रूप से ज्ञात |
मीडियासर्वर में सेवा कमजोरियों का खंडन
मीडियासर्वर में कई कमजोरियां हैं जो मीडियासर्वर प्रक्रिया को क्रैश करके सेवा से इनकार कर सकती हैं। इन मुद्दों को कम गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इसका प्रभाव मीडिया सर्वर के क्रैश होने से अनुभव होता है जिसके परिणामस्वरूप सेवा की स्थानीय अस्थायी अस्वीकृति होती है।
| सीवीई | AOSP लिंक के साथ बग | तीव्रता | प्रभावित संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-6605 | एंड्रॉइड-20915134 | कम | 5.1 और नीचे | गूगल आंतरिक |
| एंड्रॉइड-23142203 | ||||
| एंड्रॉइड-22278703 | कम | 5.0 - 6.0 | गूगल आंतरिक | |
| सीवीई-2015-3862 | एंड्रॉइड-22954006 | कम | 5.1 और नीचे | 2 अगस्त 2015 |
संशोधन
- 05 अक्टूबर 2015: बुलेटिन प्रकाशित.
- 07 अक्टूबर, 2015: बुलेटिन को एओएसपी संदर्भों के साथ अद्यतन किया गया। CVE-2014-9028 के लिए बग संदर्भों को स्पष्ट किया गया।
- 12 अक्टूबर, 2015: सीवीई-2015-3868, सीवीई-2015-3869, सीवीई-2015-3865, सीवीई-2015-3862 के लिए अद्यतन स्वीकृतियां।
- 22 जनवरी 2016: सीवीई-2015-6606 के लिए अद्यतन स्वीकृतियाँ।
- 28 अप्रैल, 2016: सीवीई-2015-6603 जोड़ा गया और सीवीई-2014-9028 के साथ टाइपो को ठीक किया गया।