पब्लिश करने की तारीख: 07 मार्च, 2016 | अपडेट करने की तारीख: 08 मार्च, 2016
हमने Android सुरक्षा बुलेटिन के हर महीने रिलीज़ होने वाले अपडेट के तहत, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. यह अपडेट, ओवर-द-एयर (ओटीए) के ज़रिए मिलेगा. Nexus फ़र्मवेयर इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. LMY49H या इसके बाद के वर्शन और 01 मार्च, 2016 या इसके बाद के सिक्योरिटी पैच लेवल वाले Android M में, ये समस्याएं नहीं आती हैं. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, Nexus के दस्तावेज़ देखें.
पार्टनर को 1 फ़रवरी, 2016 या उससे पहले, सूचना दी गई थी कि बुलेटिन में बताई गई समस्याएं हैं. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें इन नई समस्याओं के बारे में, ग्राहकों के शोषण की कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और SafetyNet जैसी सेवाओं के बारे में ज़्यादा जानने के लिए, कम करने के तरीके सेक्शन देखें. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं. हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
जोखिम कम करने के तरीके
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उन उपायों के बारे में खास जानकारी दी गई है जिनकी मदद से, इस तरह के खतरों को कम किया जा सकता है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रख रही है. इससे, इंस्टॉल किए जाने वाले संभावित रूप से नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी मिलेगी. Google Play पर, डिवाइस को रूट करने वाले टूल उपलब्ध नहीं कराए जा सकते. Google Play के अलावा किसी अन्य सोर्स से ऐप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं को सुरक्षित रखने के लिए, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, उपयोगकर्ताओं को रूट करने वाले ऐप्लिकेशन के बारे में चेतावनी देती है. Verify ऐप्लिकेशन, ऐसे नुकसान पहुंचाने वाले ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करता है जो ऐक्सेस लेवल बढ़ाने की सुविधा का गलत इस्तेमाल करते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और ऐसे सभी ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, मीडिया को mediaserver जैसी प्रोसेस को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Google Chrome की सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग, और मार्टिन बारबेला: CVE-2016-0815
- CENSUS S.A. के Anestis Bechtsoudis (@anestisb): CVE-2016-0816, CVE-2016-0824
- Android Security के चाड ब्रुबाकर: CVE-2016-0818
- Google Project Zero का मार्क ब्रैंड: CVE-2016-0820
- Qihoo 360 की C0RE टीम के मिंगजियन झोउ (@Mingjian_Zhou), चियाचीह वू (@chiachih_wu), और जूशियन जियांग: CVE-2016-0826
- Trend Micro के पीटर पाई (@heisecode): CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- स्कॉट बाउर (sbauer@eng.utah.edu, sbauer@plzdonthack.me): CVE-2016-0822
- Trend Micro Inc. के Wish Wu (@wish_wu): CVE-2016-0819
- Huawei के योंगझेंग वू और टाइयान ली: CVE-2016-0831
- सिंगापुर मैनेजमेंट यूनिवर्सिटी के सु मोन क्यवे और यिंगज्यू ली: CVE-2016-0831
- Android की सुरक्षा टीम के ज़ैक रिगल (@ebeip90): CVE-2016-0821
सुरक्षा से जुड़े जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-03-2016 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और सीवीई, उससे जुड़ी गड़बड़ी, गंभीरता, जिन वर्शन पर असर पड़ा है, और शिकायत करने की तारीख वाली टेबल शामिल होती है. उपलब्ध होने पर, हम उस AOSP बदलाव को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो गड़बड़ी के आईडी के बाद दिए गए नंबरों से, AOSP के अन्य रेफ़रंस जुड़े होते हैं.
Mediaserver में रिमोट कोड लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
खास तौर पर तैयार की गई मीडिया फ़ाइल और डेटा को प्रोसेस करने के दौरान, मीडिया सर्वर में मौजूद कमजोरियों की वजह से, हैकर को मेमोरी को नुकसान पहुंचाने और रिमोट कोड प्रोग्राम चलाने का मौका मिल सकता है.
जिस सुविधा पर असर पड़ा है वह ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट को ऐक्सेस किया जा सकता है. इनमें सबसे अहम एमएमएस और ब्राउज़र पर मीडिया चलाने की सुविधा है.
मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेटिंग दी गई है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, उसमें ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
| CVE-2016-0816 | ANDROID-25928803 | सबसे अहम | 6.0, 6.0.1 | Google आन्तरिक |
libvpx में, रिमोट कोड को लागू करने से जुड़ी जोखिम की आशंकाएं
खास तौर पर तैयार की गई मीडिया फ़ाइल और डेटा को प्रोसेस करने के दौरान, मीडिया सर्वर में मौजूद कमजोरियों की वजह से, हैकर को मेमोरी को नुकसान पहुंचाने और रिमोट कोड प्रोग्राम चलाने का मौका मिल सकता है.
जिस फ़ंक्शन पर असर पड़ा है उसे ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट के ज़रिए उस फ़ंक्शन को ऐक्सेस किया जा सकता है. इनमें मल्टीमीडिया मैसेज (एमएमएस) और ब्राउज़र से मीडिया चलाने की सुविधा सबसे अहम है.
इन समस्याओं को गंभीर के तौर पर रेट किया गया है, क्योंकि इनका इस्तेमाल मीडिया सर्वर सेवा के संदर्भ में, रिमोट कोड को लागू करने के लिए किया जा सकता है. मीडिया सर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
| CVE | AOSP लिंक से जुड़ी गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0 | Google आन्तरिक |
Conscrypt में प्रिविलेज एस्केलेशन
Conscrypt में मौजूद किसी कमज़ोरी की वजह से, इंटरमीडिएट सर्टिफ़िकेट देने वाली संस्था (सीए) से जारी किए गए किसी खास तरह के अमान्य सर्टिफ़िकेट पर गलत तरीके से भरोसा किया जा सकता है. इससे मैन इन द मिडल अटैक हो सकता है. इस समस्या को गंभीर समस्या के तौर पर रेटिंग दी गई है. इसकी वजह यह है कि इससे ऐक्सेस लेवल में बढ़ोतरी हो सकती है और रिमोट से कोई भी कोड चलाया जा सकता है.
| CVE | AOSP लिंक से जुड़ी गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
Qualcomm के परफ़ॉर्मेंस कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
Qualcomm के परफ़ॉर्मेंस कॉम्पोनेंट में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी लोकल ऐप्लिकेशन को कर्नेल में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, डिवाइस को सिर्फ़ ऑपरेटिंग सिस्टम को फिर से फ़्लैश करके ठीक किया जा सकता है.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 अक्टूबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
MediaTek वाई-फ़ाई कर्नेल ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
MediaTek के वाई-फ़ाई कर्नेल ड्राइवर में एक जोखिम है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के कॉन्टेक्स्ट में कोई भी कोड चला सकता है. इस समस्या को गंभीर के तौर पर रेट किया गया है, क्योंकि इसकी वजह से, कोर में ऐक्सेस लेवल बढ़ने और मनमुताबिक कोड लागू होने की संभावना है.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | सबसे अहम | 6.0.1 | 18 दिसंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल की-रिंग कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
कर्नेल कीरिंग कॉम्पोनेंट में, विशेषाधिकार बढ़ाने से जुड़ी कमजोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. साथ ही, डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है. हालांकि, Android के 5.0 और उसके बाद के वर्शन में, SELinux के नियमों की वजह से तीसरे पक्ष के ऐप्लिकेशन, उस कोड को ऐक्सेस नहीं कर पाते जिस पर असर पड़ा है.
ध्यान दें: AOSP में मौजूद पैच, कुछ खास वर्शन के लिए उपलब्ध है: 4.1, 3.18, 3.14, और 3.10.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 जनवरी, 2016 |
कर्नेल में, मिटिगेशन बायपास की समस्या
कर्नेल में मौजूद कमज़ोरी की वजह से, सुरक्षा से जुड़े उपायों को बायपास किया जा सकता है. इससे हमलावरों को प्लैटफ़ॉर्म का गलत इस्तेमाल करने में आसानी होती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इससे प्लैटफ़ॉर्म को नुकसान पहुंचाने वाले लोगों के लिए, सुरक्षा से जुड़े उपायों को बायपास करना आसान हो सकता है.
ध्यान दें: इस समस्या का अपडेट, Linux अपस्ट्रीम में मौजूद है.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | ज़्यादा | 6.0.1 | Google आन्तरिक |
MediaTek कनेक्टिविटी कर्नेल ड्राइवर में विशेषाधिकार बढ़ाना
MediaTek के कनेक्टिविटी केर्नेल ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी एक कमज़ोरी है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, केर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. आम तौर पर, इस तरह के कर्नेल कोड को 'गंभीर' के तौर पर रेटिंग दी जाती है. हालांकि, इस बग को ठीक करने के लिए, पहले conn_launcher सेवा को कमजोर करना पड़ता है. इसलिए, इसे 'गंभीर' से 'बहुत गंभीर' के तौर पर रेटिंग दी गई है.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | ज़्यादा | 6.0.1 | 24 नवंबर, 2015 |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल में जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
कर्नेल में मौजूद, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका, सुरक्षा से जुड़े उपायों को बायपास करने की अनुमति दे सकती है. इससे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को मुश्किल हो सकती है. इन समस्याओं को गंभीर समस्याओं के तौर पर रेट किया गया है, क्योंकि इनकी वजह से, ऐक्सप्लॉइट को कम करने वाली टेक्नोलॉजी को स्थानीय तौर पर बायपास किया जा सकता है. जैसे, ऐक्सेस लेवल वाली प्रोसेस में ASLR.
ध्यान दें: इस समस्या को ठीक करने का तरीका, Linux अपस्ट्रीम में मौजूद है.
| CVE | गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | ज़्यादा | 6.0.1 | Google आन्तरिक |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
libstagefright में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
libstagefright में मौजूद, जानकारी ज़ाहिर करने की समस्या की वजह से, सुरक्षा के लिए तय किए गए उपायों को बायपास किया जा सकता है. इससे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को मुश्किल हो सकती है. इन समस्याओं को गंभीर समस्याओं के तौर पर रेटिंग दी गई है, क्योंकि इनका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए भी किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के खास अधिकार. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | ज़्यादा | 6.0, 6.0.1 | 18 नवंबर, 2015 |
Widevine में जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
Widevine Trusted Application में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका की वजह से, कोर कॉन्टेक्स्ट में चल रहे कोड को TrustZone के सुरक्षित स्टोरेज में मौजूद जानकारी ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के फ़ायदे.
| CVE | गड़बड़ी(गड़बड़ियां) | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | ज़्यादा | 6.0.1 | Google आन्तरिक |
* इस समस्या का पैच, AOSP में मौजूद नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Mediaserver में प्रिविलेज एस्केलेशन की समस्या
mediaserver में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी लोकल ऐप्लिकेशन को खास सुविधाओं वाले सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर समस्या के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के फ़ायदे. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 दिसंबर, 2015 |
| CVE-2016-0827 | ANDROID-26347509 | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 दिसंबर, 2015 |
Mediaserver में जानकारी ज़ाहिर करने से जुड़ी समस्या
mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को, सुरक्षा से जुड़े उपायों को बायपास करने में मदद मिल सकती है. इन समस्याओं को गंभीर समस्याओं के तौर पर रेट किया गया है, क्योंकि इनका इस्तेमाल ज़्यादा सुविधाएं पाने के लिए भी किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के फ़ायदे. ये सुविधाएं तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं हैं.
| CVE | AOSP लिंक से जुड़ी गड़बड़ियां | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 दिसंबर, 2015 |
| CVE-2016-0829 | ANDROID-26338109 | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 दिसंबर, 2015 |
ब्लूटूथ में, रिमोट से सेवा में रुकावट डालने की सुविधा
ब्लूटूथ कॉम्पोनेंट में रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की समस्या होने पर, आस-पास मौजूद हमलावर, उस डिवाइस का ऐक्सेस ब्लॉक कर सकता है जिस पर इस समस्या का असर पड़ा है. हमलावर, ब्लूटूथ कॉम्पोनेंट में पहचाने गए ब्लूटूथ डिवाइसों के ओवरफ़्लो का कारण बन सकता है. इससे, मेमोरी खराब हो जाती है और सेवा बंद हो जाती है. इसे गंभीर समस्या माना गया है, क्योंकि इससे ब्लूटूथ सेवा को डिनायल ऑफ़ सर्विस (डीओएस) मिलता है. इसे ठीक करने के लिए, डिवाइस को फ़्लैश करना पड़ सकता है.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | ज़्यादा | 6.0, 6.0.1 | Google आन्तरिक |
टेलीफ़ोनी में जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
टेलीफ़ोनी कॉम्पोनेंट में जानकारी ज़ाहिर करने की समस्या की वजह से, किसी ऐप्लिकेशन को संवेदनशील जानकारी ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' गंभीरता वाला माना गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना डेटा को गलत तरीके से ऐक्सेस करने के लिए किया जा सकता है.
| CVE | AOSP लिंक में गड़बड़ी | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | काफ़ी हद तक ठीक है | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 नवंबर, 2015 |
सेटअप विज़र्ड में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
सेटअप विज़र्ड में मौजूद एक समस्या की वजह से, हमलावर डिवाइस की सेटिंग ऐक्सेस कर सकता है. साथ ही, डिवाइस को मैन्युअल तरीके से रीसेट कर सकता है. इसके लिए, हमलावर के पास डिवाइस का फ़िज़िकल ऐक्सेस होना ज़रूरी है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल फ़ैक्ट्री रीसेट की सुरक्षा से बचने के लिए किया जा सकता है.
| CVE | गड़बड़ी(गड़बड़ियां) | गंभीरता | अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | काफ़ी हद तक ठीक है | 5.1.1, 6.0, 6.0.1 | Google आन्तरिक |
* इस अपडेट के लिए कोई सोर्स कोड पैच उपलब्ध नहीं है.
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
LMY49H या इसके बाद के वर्शन और Android 6.0 के साथ 1 मार्च, 2016 या इसके बाद के सिक्योरिटी पैच लेवल की मदद से, इन समस्याओं को हल किया जा सकता है. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, Nexus दस्तावेज़ देखें. डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-03-01]
संशोधन
- 07 मार्च, 2016: बुलेटिन पब्लिश किया गया.
- 08 मार्च, 2016: AOSP के लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.