02 मई 2016 को प्रकाशित | 04 मई 2016 को अद्यतन किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 01 मई 2016 या उसके बाद के सुरक्षा पैच स्तर इन समस्याओं का समाधान करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें)।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 04 अप्रैल 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।
इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाएं
- व्यापक फोकस को प्रतिबिंबित करने के लिए, हमने इस बुलेटिन (और श्रृंखला में निम्नलिखित सभी) का नाम बदलकर एंड्रॉइड सुरक्षा बुलेटिन कर दिया है। ये बुलेटिन कमजोरियों की एक विस्तृत श्रृंखला को शामिल करते हैं जो एंड्रॉइड डिवाइस को प्रभावित कर सकती हैं, भले ही वे नेक्सस डिवाइस को प्रभावित न करें।
- हमने Android सुरक्षा गंभीरता रेटिंग अपडेट की है. ये परिवर्तन रिपोर्ट की गई सुरक्षा कमजोरियों पर पिछले छह महीनों में एकत्र किए गए डेटा का परिणाम थे और इसका उद्देश्य उपयोगकर्ताओं पर वास्तविक दुनिया के प्रभाव के साथ गंभीरता को अधिक निकटता से संरेखित करना था।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं तक नहीं पहुंचाते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-2454
- e2e-एश्योर के एंडी टायलर ( @ticarpi ) : CVE-2016-2457
- चियाचिह वू ( @chiachih_wu ) और C0RE टीम के ज़ुक्सियान जियांग: CVE-2016-2441, CVE-2016-2442
- डज़मित्री लुक्यानेंका ( www.linkedin.com/in/dzima ): CVE-2016-2458
- गैल बेनियामिनी: सीवीई-2016-2431
- वुल्पेकर टीम के हाओ चेन, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-2456
- फायरआई कंपनी, मैंडिएंट के जेक वैलेटा: CVE-2016-2060
- आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के जियानकियांग झाओ ( @jianqiangzhao ) और पीजेएफ ( weibo.com/jfpan ): CVE-2016-2434, CVE-2016-2435, CVE-2016-2436, CVE-2016-2441, सीवीई-2016-2442, सीवीई-2016-2444, सीवीई-2016-2445, सीवीई-2016-2446
- सर्च-लैब लिमिटेड के इमरे रेड: सीवीई-2016-4477
- Google के जेरेमी सी. जोसलिन: CVE-2016-2461
- Google के केनी रूट: CVE-2016-2462
- कीनलैब ( @keen_lab ) के मार्को ग्रासी ( @marcograss ), टेनसेंट: CVE-2016-2443
- माइकल बेडनार्स्की ( https://github.com/michalbednarski ): CVE-2016-2440
- मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-2450, CVE-2016-2448, CVE-2016-2449, CVE-2016-2451, CVE-2016-2452
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-2459, CVE-2016-2460
- अलीबाबा इंक. के वीचाओ सन ( @sunblate ): CVE-2016-2428, CVE-2016-2429
- युआन-त्सुंग लो , लुबो झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियान जियांग: CVE-2016-2437
- Baidu एक्स-लैब के यूलोंग झांग और ताओ (लेनक्स) वेई: CVE-2016-2439
- Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-2430
सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-05-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम समस्या को संबोधित करने वाले AOSP परिवर्तन को बग आईडी से लिंक करेंगे। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में एक भेद्यता एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती है।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से नहीं पहुंच सकते हैं।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2428 | 26751339 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 22 जनवरी 2016 |
| सीवीई-2016-2429 | 27211885 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 16, 2016 |
डिबगर्ड में विशेषाधिकार भेद्यता का उन्नयन
एकीकृत एंड्रॉइड डिबगर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एंड्रॉइड डिबगर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2430 | 27299236 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 22, 2016 |
क्वालकॉम ट्रस्टज़ोन में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम ट्रस्टज़ोन घटक में विशेषाधिकार भेद्यता का बढ़ना एक सुरक्षित स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ट्रस्टज़ोन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2431 | 24968809* | गंभीर | नेक्सस 5, नेक्सस 6, नेक्सस 7 (2013), एंड्रॉइड वन | 15 अक्टूबर 2015 |
| सीवीई-2016-2432 | 25913059* | गंभीर | नेक्सस 6, एंड्रॉइड वन | 28 नवंबर 2015 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय विशेषाधिकार वृद्धि और मनमाने ढंग से कोड निष्पादन की संभावना के कारण स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-0569 | 26754117* | गंभीर | नेक्सस 5एक्स, नेक्सस 7 (2013) | 23 जनवरी 2016 |
| सीवीई-2015-0570 | 26764809* | गंभीर | नेक्सस 5एक्स, नेक्सस 7 (2013) | 25 जनवरी 2016 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2434 | 27251090* | गंभीर | नेक्सस 9 | फ़रवरी 17, 2016 |
| सीवीई-2016-2435 | 27297988* | गंभीर | नेक्सस 9 | 20 फ़रवरी 2016 |
| सीवीई-2016-2436 | 27299111* | गंभीर | नेक्सस 9 | फ़रवरी 22, 2016 |
| सीवीई-2016-2437 | 27436822* | गंभीर | नेक्सस 9 | मार्च 1, 2016 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय विशेषाधिकार वृद्धि और मनमाने ढंग से कोड निष्पादन की संभावना के कारण स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है। इस समस्या का वर्णन Android सुरक्षा सलाहकार 2016-03-18 में किया गया था।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-1805 | 27275324* | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9 | 19 फ़रवरी 2016 |
* AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 3.14 , 3.10 , और 3.4 ।
कर्नेल में रिमोट कोड निष्पादन भेद्यता
ऑडियो सबसिस्टम में एक रिमोट कोड निष्पादन भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि ऑडियो सबसिस्टम को कॉल करने के लिए पहले इसे एक विशेषाधिकार प्राप्त सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे उच्च गंभीरता का दर्जा दिया जाता है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2438 | 26636060* | उच्च | नेक्सस 9 | गूगल आंतरिक |
* इस समस्या का पैच लिनक्स अपस्ट्रीम में उपलब्ध है।
क्वालकॉम टेथरिंग नियंत्रक में सूचना प्रकटीकरण भेद्यता
क्वालकॉम टेथरिंग नियंत्रक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के विशेषाधिकारों के बिना व्यक्तिगत पहचान योग्य जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2060 | 27942588* | उच्च | कोई नहीं | मार्च 23, 2016 |
* इस समस्या का पैच AOSP में नहीं है। अद्यतन प्रभावित उपकरणों के नवीनतम ड्राइवरों में शामिल होना चाहिए।
ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता
ब्लूटूथ डिवाइस की पेयरिंग के दौरान, ब्लूटूथ में एक भेद्यता समीपस्थ हमलावर को पेयरिंग प्रक्रिया के दौरान मनमाना कोड निष्पादित करने की अनुमति दे सकती है। ब्लूटूथ डिवाइस के आरंभीकरण के दौरान रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2439 | 27411268 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 28, 2016 |
बाइंडर में विशेषाधिकार भेद्यता का उन्नयन
बाइंडर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को किसी अन्य ऐप की प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने की अनुमति दे सकता है। मेमोरी को मुक्त करते समय, बाइंडर में एक भेद्यता एक हमलावर को स्थानीय कोड निष्पादन का कारण बनने की अनुमति दे सकती है। बाइंडर में मुफ्त मेमोरी प्रक्रिया के दौरान स्थानीय कोड निष्पादन की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2440 | 27252896 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 18, 2016 |
क्वालकॉम Buspm ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम बसपीएम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके, इसे उच्च गंभीरता के रूप में रेट किया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2441 | 26354602* | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी | 30 दिसंबर 2015 |
| सीवीई-2016-2442 | 26494907* | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी | 30 दिसंबर 2015 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम एमडीपी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम एमडीपी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके, इसे उच्च गंभीरता के रूप में रेट किया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2443 | 26404525* | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 5 जनवरी 2016 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम वाई-फाई घटक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के विशेषाधिकारों के बिना डिवाइस सेटिंग्स और व्यवहार को बदलने वाले सिस्टम कॉल को लागू करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-0571 | 26763920* | उच्च | नेक्सस 5एक्स, नेक्सस 7 (2013) | 25 जनवरी 2016 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि पहले ड्राइवर को कॉल करने के लिए एक उच्च विशेषाधिकार सेवा से समझौता करने की आवश्यकता होती है, इसलिए इसे उच्च गंभीरता का दर्जा दिया जाता है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2444 | 27208332* | उच्च | नेक्सस 9 | फ़रवरी 16, 2016 |
| सीवीई-2016-2445 | 27253079* | उच्च | नेक्सस 9 | फ़रवरी 17, 2016 |
| सीवीई-2016-2446 | 27441354* | उच्च | नेक्सस 9 | मार्च 1, 2016 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना
वाई-फ़ाई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार जैसी उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।
ध्यान दें : सीवीई नंबर को MITER अनुरोध के अनुसार CVE-2016-2447 से CVE-2016-4477 में अपडेट कर दिया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-4477 | 27371366 [ 2 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 फरवरी 2016 |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2448 | 27533704 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 मार्च 2016 |
| सीवीई-2016-2449 | 27568958 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 9, 2016 |
| सीवीई-2016-2450 | 27569635 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 9, 2016 |
| सीवीई-2016-2451 | 27597103 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 10, 2016 |
| सीवीई-2016-2452 | 27662364 [ 2 ] [ 3 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 14, 2016 |
मीडियाटेक वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके, इसे उच्च गंभीरता के रूप में रेट किया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2453 | 27549705* | उच्च | एंड्रॉयड वन | मार्च 8, 2016 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम हार्डवेयर कोडेक में सेवा भेद्यता का दूरस्थ अस्वीकरण
मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, क्वालकॉम हार्डवेयर वीडियो कोडेक में सेवा भेद्यता का एक दूरस्थ इनकार एक दूरस्थ हमलावर को डिवाइस रीबूट के कारण प्रभावित डिवाइस तक पहुंच को अवरुद्ध करने की अनुमति दे सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इसे उच्च गंभीरता का दर्जा दिया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2454 | 26221024* | उच्च | नेक्सस 5 | 16 दिसंबर 2015 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कॉन्स्क्रिप्ट में विशेषाधिकार भेद्यता का बढ़ना
कॉन्स्क्रिप्ट में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय एप्लिकेशन को यह विश्वास करने की अनुमति दे सकता है कि एक संदेश प्रमाणित था जबकि ऐसा नहीं था। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसके लिए कई उपकरणों में समन्वित चरणों की आवश्यकता होती है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2461 | 27324690 [ 2 ] | मध्यम | सभी नेक्सस | 6.0, 6.0.1 | गूगल आंतरिक |
| सीवीई-2016-2462 | 27371173 | मध्यम | सभी नेक्सस | 6.0, 6.0.1 | गूगल आंतरिक |
ओपनएसएसएल और बोरिंगएसएसएल में विशेषाधिकार भेद्यता का बढ़ना
ओपनएसएसएल और बोरिंगएसएसएल में विशेषाधिकार भेद्यता में वृद्धि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। आम तौर पर इसे उच्च रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए एक असामान्य मैन्युअल कॉन्फ़िगरेशन की आवश्यकता होती है, इसलिए इसे मध्यम गंभीरता के रूप में रेट किया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-0705 | 27449871 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 7, 2016 |
मीडियाटेक वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन सेवा से इनकार कर सकता है। आम तौर पर इस तरह के विशेषाधिकार बग की ऊंचाई को उच्च दर्जा दिया जाएगा, लेकिन क्योंकि इसके लिए पहले सिस्टम सेवा से समझौता करना आवश्यक है, इसलिए इसे मध्यम गंभीरता के रूप में दर्जा दिया गया है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2456 | 27275187* | मध्यम | एंड्रॉयड वन | 19 फ़रवरी 2016 |
* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना
वाई-फाई में विशेषाधिकार भेद्यता बढ़ने से अतिथि खाता प्राथमिक उपयोगकर्ता के लिए बनी वाई-फाई सेटिंग्स को संशोधित करने में सक्षम हो सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि यह बिना अनुमति के " खतरनाक " क्षमताओं तक स्थानीय पहुंच को सक्षम बनाता है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2457 | 27411179 | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 29, 2016 |
AOSP मेल में सूचना प्रकटीकरण भेद्यता
AOSP मेल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के अनुचित तरीके से डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2458 | 27335139 [ 2 ] | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | फ़रवरी 23, 2016 |
मीडियासर्वर में सूचना प्रकटीकरण भेद्यता
मीडियासर्वर में सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के अनुचित तरीके से डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2459 | 27556038 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 मार्च 2016 |
| सीवीई-2016-2460 | 27555981 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 7 मार्च 2016 |
कर्नेल में सेवा भेद्यता का खंडन
कर्नेल में सेवा भेद्यता का खंडन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रीबूट का कारण बनने की अनुमति दे सकता है। इस समस्या को निम्न गंभीरता का दर्जा दिया गया है क्योंकि इसका प्रभाव सेवा का अस्थायी अस्वीकरण है।
| सीवीई | एंड्रॉइड बग | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-0774 | 27721803* | कम | सभी नेक्सस | मार्च 17, 2016 |
* इस समस्या का पैच लिनक्स अपस्ट्रीम में उपलब्ध है।
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
01 मई 2016 या उसके बाद के सुरक्षा पैच स्तर इन समस्याओं का समाधान करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें)। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-05-01]
2. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से नेक्सस डिवाइस प्रभावित हैं?
सुरक्षा भेद्यता विवरण अनुभाग में, प्रत्येक तालिका में एक अपडेटेड नेक्सस डिवाइस कॉलम होता है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित करती है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में सभी नेक्सस होंगे। सभी नेक्सस निम्नलिखित समर्थित डिवाइसों को समाहित करते हैं: नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
- कुछ नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित नेक्सस डिवाइस अपडेटेड नेक्सस डिवाइस कॉलम में सूचीबद्ध होते हैं।
- कोई नेक्सस डिवाइस नहीं : यदि कोई नेक्सस डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "कोई नहीं" होगा।
3. CVE-2015-1805 को इस बुलेटिन में क्यों शामिल किया गया है?
CVE-2015-1805 को इस बुलेटिन में शामिल किया गया है क्योंकि Android सुरक्षा सलाहकार—2016-03-18 को अप्रैल बुलेटिन के रिलीज़ होने के बहुत करीब प्रकाशित किया गया था। तंग समयसीमा के कारण, डिवाइस निर्माताओं को नेक्सस सिक्योरिटी बुलेटिन-अप्रैल 2016 से सीवीई-2015-1805 के लिए फिक्स के बिना फिक्स भेजने का विकल्प दिया गया था, अगर वे 01 अप्रैल, 2016 सिक्योरिटी पैच लेवल का उपयोग करते थे। इसे इस बुलेटिन में फिर से शामिल किया गया है क्योंकि 01 मई 2016 सुरक्षा पैच स्तर का उपयोग करने के लिए इसे ठीक किया जाना चाहिए।
संशोधन
- 02 मई 2016: बुलेटिन प्रकाशित।
- 04 मई 2016:
- एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
- नेक्सस प्लेयर और पिक्सेल सी को शामिल करने के लिए अद्यतन किए गए सभी नेक्सस उपकरणों की सूची।
- MITER अनुरोध के अनुसार CVE-2016-2447 को CVE-2016-4477 में अद्यतन किया गया।