नेक्सस सुरक्षा बुलेटिन - फरवरी 2016

01 फरवरी 2016 को प्रकाशित | 7 मार्च 2016 को अद्यतन किया गया

हमने अपनी एंड्रॉइड सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के हिस्से के रूप में ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। LMY49G या उसके बाद का संस्करण और 1 फरवरी, 2016 या उसके बाद के सुरक्षा पैच स्तर के साथ Android M इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 4 जनवरी 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। ब्रॉडकॉम के वाई-फाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता भी गंभीर गंभीरता है क्योंकि यह हमलावर के समान नेटवर्क से कनेक्ट होने पर प्रभावित डिवाइस पर रिमोट कोड निष्पादन की अनुमति दे सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है। हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Verify Apps और SafetyNet के साथ दुरुपयोग की सक्रिय रूप से निगरानी कर रही है जो इंस्टॉल होने वाले संभावित हानिकारक एप्लिकेशन के बारे में चेतावनी देगी। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, Verify Apps डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित ऐप्स विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की स्थापना को पहचानने और अवरुद्ध करने का प्रयास करता है। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं तक नहीं पहुंचाते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Android और Chrome सुरक्षा टीम: CVE-2016-0809, CVE-2016-0810
  • ब्रॉडगेट टीम: CVE-2016-0801, CVE-2015-0802
  • चियाचिह वू ( @chiachih_wu ), मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग, Qihoo 360 : CVE-2016-0804
  • Google Pixel C टीम के डेविड रिले: CVE-2016-0812
  • लैब आइसस्वॉर्ड के गेंग्जिया चेन ( @chengjia4574 ), क्यूहू 360: CVE-2016-0805
  • किदान हे ( @Flanker_hqd ) कीनलैब ( @keen_lab ), टेनसेंट: CVE-2016-0811
  • ट्रेंड माइक्रो के सेवन शेन ( @lingtongshen ) ( www.trendmicro.com ): CVE-2016-0803
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-0808
  • Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-0807

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-02-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस AOSP कमिट को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया था। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

ब्रॉडकॉम वाई-फ़ाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता

ब्रॉडकॉम वाई-फाई ड्राइवर में कई दूरस्थ निष्पादन कमजोरियाँ एक दूरस्थ हमलावर को कर्नेल मेमोरी को भ्रष्ट करने के लिए विशेष रूप से तैयार किए गए वायरलेस नियंत्रण संदेश पैकेट का उपयोग करने की अनुमति दे सकती हैं, जिससे कर्नेल के संदर्भ में दूरस्थ कोड निष्पादन होता है। ये कमजोरियाँ तब उत्पन्न हो सकती हैं जब हमलावर और पीड़ित एक ही नेटवर्क से जुड़े हों। उपयोगकर्ता सहभागिता की आवश्यकता के बिना कर्नेल के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है।

सीवीई कीड़े तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0801 एंड्रॉइड-25662029
एंड्रॉइड-25662233
गंभीर 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 अक्टूबर 2015
सीवीई-2016-0802 एंड्रॉइड-25306181 गंभीर 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 अक्टूबर 26,2015

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0803 एंड्रॉइड-25812794 गंभीर 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 19 नवंबर 2015
सीवीई-2016-0804 एंड्रॉइड-25070434 गंभीर 5.0, 5.1.1, 6.0, 6.0.1 12 अक्टूबर 2015

क्वालकॉम प्रदर्शन मॉड्यूल में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम के एआरएम प्रोसेसर के लिए प्रदर्शन इवेंट मैनेजर घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है और डिवाइस को संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0805 एंड्रॉइड-25773204* गंभीर 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 नवंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई ड्राइवर में एक भेद्यता है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है और डिवाइस को संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0806 एंड्रॉइड-25344453* गंभीर 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 15 नवंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

डिबगर्ड में विशेषाधिकार भेद्यता का उन्नयन

डिबगर्ड घटक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रूट संदर्भ के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है और डिवाइस को संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0807 एंड्रॉइड-25187394 गंभीर 6.0 और 6.0.1 गूगल आंतरिक

मिनिकिन में सेवा भेद्यता से इनकार

मिनिकिन लाइब्रेरी में सेवा भेद्यता से इनकार एक स्थानीय हमलावर को प्रभावित डिवाइस तक पहुंच को अस्थायी रूप से अवरुद्ध करने की अनुमति दे सकता है। एक हमलावर एक अविश्वसनीय फ़ॉन्ट लोड कर सकता है और मिनिकिन घटक में अतिप्रवाह का कारण बन सकता है जिससे दुर्घटना हो सकती है। इसे उच्च गंभीरता का दर्जा दिया गया है क्योंकि सेवा से इनकार करने पर निरंतर रिबूट लूप होता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0808 एंड्रॉइड-25645298 उच्च 5.0, 5.1.1, 6.0, 6.0.1 3 नवंबर 2015

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना

वाई-फाई घटक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सिस्टम संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। एक उपकरण केवल स्थानीय निकटता में होने पर ही इस समस्या के प्रति संवेदनशील होता है। इस समस्या को उच्च गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग दूरस्थ रूप से " सामान्य " क्षमताओं को प्राप्त करने के लिए किया जा सकता है। आम तौर पर, ये अनुमतियाँ केवल स्थानीय रूप से इंस्टॉल किए गए तृतीय-पक्ष एप्लिकेशन के लिए ही पहुंच योग्य होती हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0809 एंड्रॉइड-25753768 उच्च 6.0, 6.0.1 गूगल आंतरिक

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0810 एंड्रॉइड-25781119 उच्च 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

लिबमीडियाप्लेयरसर्विस में सूचना प्रकटीकरण भेद्यता

लिबमीडियाप्लेयरसर्विस में सूचना प्रकटीकरण भेद्यता प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0811 एंड्रॉइड-25800375 उच्च 6.0, 6.0.1 16 नवंबर 2015

सेटअप विज़ार्ड में विशेषाधिकार भेद्यता का उन्नयन

सेटअप विज़ार्ड में एक भेद्यता एक दुर्भावनापूर्ण हमलावर को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकती है। इसे मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि यह संभावित रूप से किसी डिवाइस तक भौतिक पहुंच वाले किसी व्यक्ति को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की अनुमति देता है, जो एक हमलावर को सभी डेटा को मिटाकर डिवाइस को सफलतापूर्वक रीसेट करने में सक्षम बनाता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0812 एंड्रॉइड-25229538 मध्यम 5.1.1, 6.0 गूगल आंतरिक
सीवीई-2016-0813 एंड्रॉइड-25476219 मध्यम 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

LMY49G या उसके बाद का संस्करण और 1 फरवरी 2016 या उसके बाद के सुरक्षा पैच स्तर के साथ Android 6.0 इन समस्याओं का समाधान करता है। सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-02-01]

संशोधन

  • 01 फरवरी 2016: बुलेटिन प्रकाशित.
  • फरवरी 02, 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
  • मार्च 07, 2016: अतिरिक्त एओएसपी लिंक शामिल करने के लिए बुलेटिन को संशोधित किया गया।