Android सुरक्षा बुलेटिन—जून 2016

06 जून 2016 को प्रकाशित | 08 जून 2016 को अद्यतन किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 01 जून 2016 या उसके बाद के सुरक्षा पैच स्तर इन मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए नेक्सस दस्तावेज़ देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 02 मई 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।

सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • कीनलैब के डि शेन ( @returnsme ), टेनसेंट: CVE- 2016-2468
  • गैल बेनियामिनी ( @laginimaineb ): CVE-2016-2476
  • गेंग्जिया चेन ( @chengjia4574 ), आइसस्वॉर्ड लैब के पीजेएफ ( weibo.com/jfpan ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: CVE-2016-2492
  • हाओ चेन, गुआंग गोंग, और मोबाइल सेफ टीम के वेनलिन यांग, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-2470, सीवीई-2016-2471, सीवीई-2016-2472, सीवीई-2016-2473, सीवीई-2016- 2498
  • इवो ​​बनास : सीवीई-2016-2496
  • आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के जियानकियांग झाओ( @jianqiangzhao ) और पीजेएफ ( weibo.com/jfpan ): CVE-2016-2490, CVE-2016-2491
  • Google के ली कैंपबेल: CVE-2016-2500
  • Google सुरक्षा टीम के मैकिएज सज़ाव्लोस्की: CVE-2016-2474
  • Google के मार्को नेलिसन और मैक्स स्पेक्टर: CVE-2016-2487
  • Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-2494
  • मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-2477, CVE-2016-2478, CVE-2016-2479, CVE-2016-2480, CVE-2016-2481 , सीवीई-2016-2482, सीवीई-2016-2483, सीवीई-2016-2484, सीवीई-2016-2485, सीवीई-2016-2486
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-2066, CVE-2016-2061, CVE-2016-2465, CVE-2016-2469, CVE-2016-2489
  • वसीली वासिलिव: सीवीई-2016-2463
  • अलीबाबा इंक. के वीचाओ सन ( @sunblate ): CVE-2016-2495
  • Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के ज़िलिंग गोंग: CVE-2016-2499
  • Android सुरक्षा टीम के Zach Riggle ( @ebeip90 ): CVE-2016-2493

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-06-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित एंड्रॉइड बग, गंभीरता, अपडेटेड नेक्सस डिवाइस, अपडेटेड एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम समस्या को संबोधित करने वाले AOSP परिवर्तन को बग आईडी से लिंक करेंगे। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है। मीडियासर्वर प्रक्रिया में ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जिन्हें तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2463 27855419 गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 25, 2016

लिबवेबम में रिमोट कोड निष्पादन कमजोरियाँ

लिबवेबम के साथ रिमोट कोड निष्पादन कमजोरियां एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती हैं। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है। मीडियासर्वर प्रक्रिया में ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जिन्हें तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2464 23167726 [ 2 ] गंभीर सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2465 27407865* गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 21 फरवरी 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2466 27947307* गंभीर नेक्सस 6 फ़रवरी 27, 2016
सीवीई-2016-2467 28029010* गंभीर नेक्सस 5 मार्च 13, 2014

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2468 27475454* गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 2 मार्च 2016
सीवीई-2016-2062 27364029* गंभीर नेक्सस 5एक्स, नेक्सस 6पी मार्च 6, 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2474 27424603* गंभीर नेक्सस 5X गूगल आंतरिक

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसा करने के विशेषाधिकारों के बिना डिवाइस सेटिंग्स और व्यवहार को बदलने वाले सिस्टम कॉल को लागू करने में सक्षम कर सकता है। इस मुद्दे को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2475 26425765* उच्च नेक्सस 5, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी 6 जनवरी 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसके लिए सबसे पहले एक ऐसी सेवा से समझौता करना आवश्यक है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2066 26876409* उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 29 जनवरी 2016
सीवीई-2016-2469 27531992* उच्च नेक्सस 5, नेक्सस 6, नेक्सस 6पी 4 मार्च 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2476 27207275 [ 2 ] [ 3 ] [ 4 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 11, 2016
सीवीई-2016-2477 27251096 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 17, 2016
सीवीई-2016-2478 27475409 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 3, 2016
सीवीई-2016-2479 27532282 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 6, 2016
सीवीई-2016-2480 27532721 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 6, 2016
सीवीई-2016-2481 27532497 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 6, 2016
सीवीई-2016-2482 27661749 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 14, 2016
सीवीई-2016-2483 27662502 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 14, 2016
सीवीई-2016-2484 27793163 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 मार्च 2016
सीवीई-2016-2485 27793367 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 मार्च 2016
सीवीई-2016-2486 27793371 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 22 मार्च 2016
सीवीई-2016-2487 27833616 [ 2 ] [ 3 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसके लिए सबसे पहले एक ऐसी सेवा से समझौता करना आवश्यक है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2061 27207747* उच्च नेक्सस 5एक्स, नेक्सस 6पी फ़रवरी 15, 2016
सीवीई-2016-2488 27600832* उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013) गूगल आंतरिक

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसके लिए सबसे पहले एक ऐसी सेवा से समझौता करना आवश्यक है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2489 27407629* उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 21 फरवरी 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि ड्राइवर को कॉल करने के लिए सबसे पहले किसी सेवा से समझौता करना आवश्यक है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2490 27533373* उच्च नेक्सस 9 मार्च 6, 2016
सीवीई-2016-2491 27556408* उच्च नेक्सस 9 मार्च 8, 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसके लिए सबसे पहले एक ऐसी सेवा से समझौता करना आवश्यक है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2470 27662174* उच्च नेक्सस 7 (2013) मार्च 13, 2016
सीवीई-2016-2471 27773913* उच्च नेक्सस 7 (2013) मार्च 19, 2016
सीवीई-2016-2472 27776888* उच्च नेक्सस 7 (2013) मार्च 20, 2016
सीवीई-2016-2473 27777501* उच्च नेक्सस 7 (2013) मार्च 20, 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियाटेक पावर मैनेजमेंट ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक पावर प्रबंधन ड्राइवर में विशेषाधिकार का उन्नयन स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि ड्राइवर को कॉल करने के लिए पहले डिवाइस से समझौता करना और रूट में उन्नयन की आवश्यकता होती है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2492 28085410* उच्च एंड्रॉयड वन 7 अप्रैल 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

एसडी कार्ड इम्यूलेशन परत में विशेषाधिकार भेद्यता का बढ़ना

एसडी कार्ड यूजरस्पेस इम्यूलेशन परत में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2494 28085658 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 7 अप्रैल 2016

ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि ड्राइवर को कॉल करने के लिए सबसे पहले किसी सेवा से समझौता करना आवश्यक है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2493 26571522* उच्च नेक्सस 5, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस प्लेयर, पिक्सेल सी गूगल आंतरिक

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियासर्वर में सेवा भेद्यता का दूरस्थ अस्वीकरण

मीडियासर्वर में सेवा भेद्यता का एक दूरस्थ खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2495 28076789 [ 2 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 6 अप्रैल 2016

फ्रेमवर्क यूआई में विशेषाधिकार भेद्यता का बढ़ना

फ़्रेमवर्क यूआई अनुमति संवाद विंडो में विशेषाधिकार भेद्यता का बढ़ना एक हमलावर को निजी भंडारण में अनधिकृत फ़ाइलों तक पहुंच प्राप्त करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित तरीके से " खतरनाक " अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2496 26677796 [ 2 ] [ 3 ] मध्यम सभी नेक्सस 6.0, 6.1 26 मई 2015

क्वालकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम वाई-फाई ड्राइवर में जानकारी का खुलासा एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए सबसे पहले एक ऐसी सेवा से समझौता करना आवश्यक है जो ड्राइवर को कॉल कर सके।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2498 27777162* मध्यम नेक्सस 7 (2013) मार्च 20, 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2499 27855172 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 24 मार्च 2016

गतिविधि प्रबंधक में सूचना प्रकटीकरण भेद्यता

गतिविधि प्रबंधक घटक में सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई एंड्रॉइड बग तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2500 19285814 मध्यम सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

01 जून 2016 या उसके बाद के सुरक्षा पैच स्तर इन समस्याओं का समाधान करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें)। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-06-01]

2. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से नेक्सस डिवाइस प्रभावित हैं?

सुरक्षा भेद्यता विवरण अनुभाग में, प्रत्येक तालिका में एक अपडेटेड नेक्सस डिवाइस कॉलम होता है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित करती है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "सभी नेक्सस" होंगे। "ऑल नेक्सस" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: नेक्सस 5, नेक्सस 5X, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
  • कुछ नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित नेक्सस डिवाइस अपडेटेड नेक्सस डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई नेक्सस डिवाइस नहीं : यदि कोई नेक्सस डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "कोई नहीं" होगा।

संशोधन

  • 06 जून 2016: बुलेटिन प्रकाशित।
  • 07 जून 2016:
    • एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
    • CVE-2016-2496 को बुलेटिन से हटा दिया गया।
  • जून 08, 2016: सीवीई-2016-2496 को बुलेटिन में वापस जोड़ा गया।