पब्लिश करने की तारीख: 06 जुलाई, 2016 | अपडेट करने की तारीख: 1 अप्रैल, 2019
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के ज़रिए, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Nexus फ़र्मवेयर इमेज को Google Developer साइट पर भी रिलीज़ किया गया है. 05 जुलाई, 2016 या उसके बाद के सुरक्षा पैच लेवल, इस सूचना में बताई गई सभी समस्याओं को ठीक करते हैं. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, दस्तावेज़ देखें.
पार्टनर को 06 जून, 2016 या उससे पहले, बुलेटिन में बताई गई समस्याओं के बारे में सूचना दी गई थी. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सेवाओं और SafetyNet जैसी सेवाओं के बारे में ज़्यादा जानने के लिए, Android और Google की सेवाओं से जुड़ी समस्याओं को कम करने के तरीके सेक्शन देखें. ये सेवाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
सूचनाएं
- इस सूचना में, सिक्योरिटी पैच लेवल की दो स्ट्रिंग बताई गई हैं. इससे Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर पाएंगे. ज़्यादा जानकारी के लिए,
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब देखें:
- 01-07-2016: सुरक्षा पैच के लेवल की स्ट्रिंग का कुछ हिस्सा. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-07-2016 से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-07-2016: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-07-2016 और 05-07-2016 से जुड़ी सभी समस्याएं हल हो गई हैं.
- जिन Nexus डिवाइसों पर यह सुविधा काम करती है उन्हें 05 जुलाई, 2016 के सिक्योरिटी पैच लेवल के साथ, एक ओटीए अपडेट मिलेगा.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी समस्याओं को कम करने के तरीकों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. इन सुविधाओं को, नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देने के लिए डिज़ाइन किया गया है. Google Mobile Services वाले डिवाइसों पर, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं. Google Play पर, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले टूल उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने की सुविधा, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर, उपयोगकर्ताओं को चेतावनी देती है. भले ही, वह ऐप्लिकेशन किसी भी सोर्स से डाउनलोड किया गया हो. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा के जोखिम का फ़ायदा उठाते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, Mediaserver जैसी प्रोसेस को मीडिया को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Google Chrome की सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग, और मार्टिन बारबेला: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
- Check Point Software Technologies Ltd. के ऐडम डॉनफ़ेल्ड वगैरह: CVE-2016-2503
- Google के एडम पॉवेल: CVE-2016-3752
- Context Information Security के एलेक्स चैपमैन और पॉल स्टोन: CVE-2016-3763
- e2e-assure के ऐंडी टायलर (@ticarpi): CVE-2016-2457
- Google Project Zero के बेन हॉक्स: CVE-2016-3775
- C0RE टीम के चियाची वू (@chiachih_wu), युआन-त्सुंग लो (computernik@gmail.com), और शुशियन जियांग: CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
- Google के क्रिस्टोफ़र टेट: CVE-2016-3759
- Tencent के KeenLab (@keen_lab) के डि शेन (@returnsme): CVE-2016-3762
- Gengjia Chen (@chengjia4574), IceSword Lab के pjf (weibo.com/jfpan), Qihoo 360 Technology Co. Ltd.: CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804, CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
- Google Android टीम के ग्रैग कैसर: CVE-2016-3758
- Qihoo 360 Technology Co. Ltd की मोबाइल सेफ़ टीम के गुआंग गोंग (龚广) (@oldfresher): CVE-2016-3764
- Qihoo 360 Technology Co. Ltd की Alpha Team के हाओ चेन और गुआंग गोंग: CVE-2016-3792, CVE-2016-3768
- Cheetah Mobile की सुरक्षा रिसर्च लैब के हाओ किन: CVE-2016-3754, CVE-2016-3766
- Qihoo 360 Technology Co.Ltd के IceSword Lab के @jianqiangzhao और pjf (weibo. com/jfpan): CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
- Google के मार्को नेलिसन: CVE-2016-3818
- Google Project Zero का Mark Brand: CVE-2016-3757
- Michał Bednarski: CVE-2016-3750
- C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), चियाचीह वू (@chiachih_wu), और जूशियन जियांग: CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
- Alibaba के मोबाइल सिक्योरिटी ग्रुप के ये लोग: पेंग ज़ियाओ, चेनिमिंग यांग, निंग यू, चाओ यांग, और यांग सॉन्ग: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
- Trend Micro के पीटर पाई (@heisecode): CVE-2016-3793
- Google के रिक वाई: CVE-2016-3749
- Roeland Krak: CVE-2016-3753
- स्कॉट बाउर (@ScottyBauer1): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
- वसीली वासिलेव: CVE-2016-2507
- Alibaba Inc. के वेईचाओ सुन (@sunblate): CVE-2016-2508, CVE-2016-3755
- Tencent के KeenLab (@keen_lab) के वेन न्यौ (@NWMonster): CVE-2016-3809
- Tencent Security Platform Department के Xiling Gong: CVE-2016-3745
- TCA Lab, Institute of Software, चाइनीज़ अकैडमी ऑफ़ साइंसेज़ के Yacong Gu: CVE-2016-3761
- Tencent के Xuanwu LAB के @Rudykewang: CVE-2016-2505
- ज़ुआनवु लैब, Tencent के @Rudykewang और @Danny__Wei: CVE-2016-2506
- Baidu X-Lab के युलोंग ज़ैंग और ताओ (Lenx) वेई: CVE-2016-3744
01-07-2016 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी जोखिम की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-07-2016 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और CVE, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Nexus डिवाइसों, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख की टेबल शामिल होती है. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं.
Mediaserver में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
Mediaserver में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. Mediaserver प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है. Mediaserver प्रोसेस के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, उसमें ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.
जिस फ़ंक्शन पर असर पड़ा है उसे ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट के ज़रिए उस फ़ंक्शन को ऐक्सेस किया जा सकता है. इनमें मल्टीमीडिया मैसेज (एमएमएस) और ब्राउज़र से मीडिया चलाने की सुविधा सबसे अहम है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2506 | A-28175045 | सबसे अहम | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 अप्रैल, 2016 |
| CVE-2016-2505 | A-28333006 | सबसे अहम | सभी Nexus डिवाइस | 6.0, 6.0.1 | 21 अप्रैल, 2016 |
| CVE-2016-2507 | A-28532266 | सबसे अहम | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 मई, 2016 |
| CVE-2016-2508 | A-28799341 [2] | सबसे अहम | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 मई, 2016 |
| CVE-2016-3741 | A-28165661 [2] | सबसे अहम | सभी Nexus डिवाइस | 6.0, 6.0.1 | सिर्फ़ Google के लिए |
| CVE-2016-3742 | A-28165659 | सबसे अहम | सभी Nexus डिवाइस | 6.0, 6.0.1 | सिर्फ़ Google के लिए |
| CVE-2016-3743 | A-27907656 | सबसे अहम | सभी Nexus डिवाइस | 6.0, 6.0.1 | सिर्फ़ Google के लिए |
OpenSSL और BoringSSL में, रिमोट कोड को लागू करने से जुड़ी जोखिम
OpenSSL और BoringSSL में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी जोखिम की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. इस समस्या को गंभीर के तौर पर रेटिंग दी गई है, क्योंकि इससे किसी प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2108 | A-28175332 | सबसे अहम | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 मई, 2016 |
ब्लूटूथ में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
ब्लूटूथ में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी कमज़ोरी की वजह से, किसी हैकर को जोड़ने की प्रोसेस के दौरान, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. ब्लूटूथ डिवाइस को शुरू करने के दौरान, रिमोट कोड लागू होने की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3744 | A-27930580 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 30 मार्च, 2016 |
libpng में प्रिविलेज एस्कलेशन की समस्या
libpng में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को खास सुविधाओं वाले सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem अनुमतियों के विशेषाधिकार. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं की जा सकतीं.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3751 | A-23265085 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 दिसंबर, 2015 |
Mediaserver में प्रिविलेज एस्केलेशन की समस्या
Mediaserver में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को ऐक्सेस लेवल बढ़ाए गए सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं की जा सकतीं.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3745 | A-28173666 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 अप्रैल, 2016 |
| CVE-2016-3746 | A-27890802 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 मार्च, 2016 |
| CVE-2016-3747 | A-27903498 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 मार्च, 2016 |
सॉकेट में प्रिविलेज एस्केलेशन की समस्या
सॉकेट में, विशेषाधिकार बढ़ाने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमतियों के लेवल से बाहर के सिस्टम कॉल ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है, क्योंकि इससे सुरक्षा से जुड़े उन उपायों को बायपास किया जा सकता है जिन्हें हमने प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को रोकने के लिए लागू किया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3748 | A-28171804 | ज़्यादा | सभी Nexus डिवाइस | 6.0, 6.0.1 | 13 अप्रैल, 2016 |
LockSettingsService में प्रिविलेज एस्कलेशन की समस्या
LockSettingsService में प्रिविलेज एस्केलेशन की समस्या की वजह से, नुकसान पहुंचाने वाला ऐप्लिकेशन, उपयोगकर्ता की अनुमति के बिना स्क्रीन लॉक का पासवर्ड रीसेट कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग में बदलाव करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3749 | A-28163930 | ज़्यादा | सभी Nexus डिवाइस | 6.0, 6.0.1 | सिर्फ़ Google के लिए |
फ़्रेमवर्क एपीआई में प्रिविलेज एस्कलेशन की समस्या
Parcels Framework API में, ऐक्सेस लेवल की सुविधा से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को ऑपरेटिंग सिस्टम की सुरक्षा को बायपास करने में मदद मिल सकती है. यह सुरक्षा, ऐप्लिकेशन के डेटा को अन्य ऐप्लिकेशन से अलग करती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उस डेटा को ऐक्सेस करने के लिए किया जा सकता है जिसका ऐप्लिकेशन के पास ऐक्सेस नहीं है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3750 | A-28395952 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 दिसंबर, 2015 |
ChooserTarget सेवा में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
ChooserTarget सेवा में, विशेषाधिकार बढ़ाने की समस्या की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को किसी दूसरे ऐप्लिकेशन के संदर्भ में कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' रेटिंग दी गई है, क्योंकि इसका इस्तेमाल, अनुमति के बिना किसी दूसरे ऐप्लिकेशन की गतिविधियों को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3752 | A-28384423 | ज़्यादा | सभी Nexus डिवाइस | 6.0, 6.0.1 | सिर्फ़ Google के लिए |
Mediaserver में जानकारी ज़ाहिर करने से जुड़ी समस्या
Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, रिमोट से हमला करने वाला व्यक्ति सुरक्षित डेटा ऐक्सेस कर सकता है. आम तौर पर, यह डेटा सिर्फ़ स्थानीय तौर पर इंस्टॉल किए गए उन ऐप्लिकेशन के लिए उपलब्ध होता है जो अनुमति का अनुरोध करते हैं. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3753 | A-27210135 | ज़्यादा | कोई नहीं* | 4.4.4 | 15 फ़रवरी, 2016 |
* जिन Nexus डिवाइसों पर यह सुविधा काम करती है और जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं उन पर इस समस्या का असर नहीं पड़ेगा.
OpenSSL में जानकारी ज़ाहिर करने से जुड़ी जोखिम
OpenSSL में जानकारी ज़ाहिर करने से जुड़ी समस्या की वजह से, रिमोट से हमला करने वाला व्यक्ति, सुरक्षित डेटा को ऐक्सेस कर सकता है. आम तौर पर, यह डेटा सिर्फ़ स्थानीय तौर पर इंस्टॉल किए गए उन ऐप्लिकेशन के लिए उपलब्ध होता है जो अनुमति का अनुरोध करते हैं. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2107 | A-28550804 | ज़्यादा | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1 | 13 अप्रैल, 2016 |
* जिन Nexus डिवाइसों पर यह सुविधा काम करती है और जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं उन पर इस समस्या का असर नहीं पड़ेगा.
Mediaserver में सेवा में रुकावट की समस्या
Mediaserver में सेवा में रुकावट से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह से तैयार की गई फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेट किया गया है, क्योंकि इसकी वजह से कुछ समय के लिए, रिमोट से सेवा में रुकावट आ सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3754 | A-28615448 [2] | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 मई, 2016 |
| CVE-2016-3755 | A-28470138 | ज़्यादा | सभी Nexus डिवाइस | 6.0, 6.0.1 | 29 अप्रैल, 2016 |
| CVE-2016-3756 | A-28556125 | ज़्यादा | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
libc में डिनायल ऑफ़ सर्विस (डीओएस) की समस्या
libc में, सेवा अस्वीकार करने से जुड़ी जोखिम की वजह से हमलावर, डिवाइस को हैंग या रीबूट करने के लिए, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल कर सकता है. इस समस्या को 'ज़्यादा' रेटिंग दी गई है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3818 | A-28740702 [2] | ज़्यादा | कोई नहीं* | 4.4.4 | सिर्फ़ Google के लिए |
* जिन Nexus डिवाइसों पर यह सुविधा काम करती है और जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं उन पर इस समस्या का असर नहीं पड़ेगा.
lsof में प्रिविलेज एस्केलेशन की समस्या
lsof में, विशेषाधिकार बढ़ाने की गड़बड़ी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, मनमुताबिक कोड चला सकता है. इससे डिवाइस को हमेशा के लिए हैक किया जा सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए असामान्य मैन्युअल तरीकों का इस्तेमाल करना पड़ता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3757 | A-28175237 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 अप्रैल, 2016 |
DexClassLoader में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
DexClassLoader में प्रिविलेज एस्केलेशन की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को, प्रिविलेज वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए असामान्य मैन्युअल तरीकों का इस्तेमाल करना पड़ता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3758 | A-27840771 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
फ़्रेमवर्क एपीआई में प्रिविलेज एस्कलेशन की समस्या
Framework API में, ऐक्सेस लेवल की सुविधा से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को बैकअप की अनुमतियों का अनुरोध करने और पूरे बैकअप डेटा को इंटरसेप्ट करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए ऑपरेटिंग सिस्टम की सुरक्षा से जुड़ी खास अनुमतियों की ज़रूरत होती है. ये अनुमतियां, ऐप्लिकेशन के डेटा को दूसरे ऐप्लिकेशन से अलग करती हैं.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3759 | A-28406080 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
ब्लूटूथ में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
ब्लूटूथ कॉम्पोनेंट में, ऐक्सेस लेवल बढ़ाने की सुविधा से, कोई स्थानीय हमलावर पुष्टि किए गए ऐसे ब्लूटूथ डिवाइस को जोड़ सकता है जो मुख्य उपयोगकर्ता के लिए बना रहता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, उपयोगकर्ता की अनुमति के बिना बेहतर सुविधाएं पाने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3760 | A-27410683 [2] [3] | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 फ़रवरी, 2016 |
एनएफ़सी में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
एनएफ़सी में, ऐक्सेस लेवल बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला बैकग्राउंड ऐप्लिकेशन, फ़ोरग्राउंड ऐप्लिकेशन से जानकारी ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना बेहतर सुविधाएं पाने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3761 | A-28300969 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 20 अप्रैल, 2016 |
सॉकेट में प्रिविलेज एस्केलेशन की समस्या
सोकेट में, विशेषाधिकार बढ़ाने की समस्या की वजह से, स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को कुछ असामान्य सोकेट टाइप का ऐक्सेस मिल सकता है. इससे, हो सकता है कि कर्नेल के संदर्भ में मनमुताबिक कोड लागू हो जाए. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इससे सुरक्षा से जुड़े उपायों को बायपास किया जा सकता है. इससे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को मुश्किल हो सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3762 | A-28612709 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 5.0.2, 5.1.1, 6.0, 6.0.1 | 21 अप्रैल, 2016 |
प्रॉक्सी ऑटो-कॉन्फ़िगरेशन में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
प्रॉक्सी ऑटो-कॉन्फ़िगर कॉम्पोनेंट में, जानकारी ज़ाहिर करने की जोखिम की वजह से, किसी ऐप्लिकेशन को संवेदनशील जानकारी ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को मध्यम दर्जा दिया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3763 | A-27593919 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 मार्च, 2016 |
Mediaserver में जानकारी ज़ाहिर करने से जुड़ी समस्या
Mediaserver में जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को संवेदनशील जानकारी ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3764 | A-28377502 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 अप्रैल, 2016 |
| CVE-2016-3765 | A-28168413 | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 6.0, 6.0.1 | 8 अप्रैल, 2016 |
Mediaserver में सेवा में रुकावट की समस्या
Mediaserver में सेवा में रुकावट से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह से तैयार की गई फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसकी वजह से सेवा में रुकावट डाली जा सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-3766 | A-28471206 [2] | काफ़ी हद तक ठीक है | सभी Nexus डिवाइस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 अप्रैल, 2016 |
05-07-2016 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-07-2016 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और CVE, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Nexus डिवाइसों, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख की टेबल शामिल होती है. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं.
Qualcomm जीपीयू ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm GPU ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2503 | A-28084795* QC-CR1006067 | सबसे अहम | Nexus 5X, Nexus 6P | 5 अप्रैल, 2016 |
| CVE-2016-2067 | A-28305757 QC-CR988993 | सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P | 20 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
MediaTek वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3767 | A-28169363*
M-ALPS02689526 |
सबसे अहम | Android One | 6 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm के परफ़ॉर्मेंस कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm के परफ़ॉर्मेंस कॉम्पोनेंट में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3768 | A-28172137* QC-CR1010644 | सबसे अहम | Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) | 9 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
NVIDIA वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
NVIDIA वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3769 | A-28376656* N-CVE20163769 |
सबसे अहम | Nexus 9 | 18 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek ड्राइवरों में, विशेषाधिकार बढ़ाने की समस्या (डिवाइस के हिसाब से)
MediaTek के कई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3770 | A-28346752* M-ALPS02703102 |
सबसे अहम | Android One | 22 अप्रैल, 2016 |
| CVE-2016-3771 | A-29007611* M-ALPS02703102 |
सबसे अहम | Android One | 22 अप्रैल, 2016 |
| CVE-2016-3772 | A-29008188* M-ALPS02703102 |
सबसे अहम | Android One | 22 अप्रैल, 2016 |
| CVE-2016-3773 | A-29008363* M-ALPS02703102 |
सबसे अहम | Android One | 22 अप्रैल, 2016 |
| CVE-2016-3774 | A-29008609* M-ALPS02703102 |
सबसे अहम | Android One | 22 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की आशंका
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3775 | A-28588279* | सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, और Nexus Player, Pixel C | 4 मई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
यूएसबी ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
यूएसबी ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-8816 | A-28712303* | सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 4 मई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm के कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
नीचे दी गई टेबल में, सुरक्षा से जुड़ी ऐसी समस्याओं के बारे में बताया गया है जिनका असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनमें बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर, और वीडियो ड्राइवर शामिल हैं.
इनमें से सबसे गंभीर समस्याओं को 'गंभीर' के तौर पर रेटिंग दी जाती है. ऐसा इसलिए, क्योंकि इनमें डिवाइस पर मनमुताबिक कोड चलाने की संभावना होती है. इससे डिवाइस पर हमेशा के लिए नुकसान पहुंच सकता है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता* | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9795 | A-28820720 QC-CR681957 [2] |
सबसे अहम | Nexus 5 | 8 अगस्त, 2014 |
| CVE-2014-9794 | A-28821172 QC-CR646385 |
सबसे अहम | Nexus 7 (2013) | 8 अगस्त, 2014 |
| CVE-2015-8892 | A-28822807 QC-CR902998 |
सबसे अहम | Nexus 5X, Nexus 6P | 30 दिसंबर, 2015 |
| CVE-2014-9781 | A-28410333 QC-CR556471 |
ज़्यादा | Nexus 7 (2013) | 6 फ़रवरी, 2014 |
| CVE-2014-9786 | A-28557260 QC-CR545979 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 13 मार्च, 2014 |
| CVE-2014-9788 | A-28573112 QC-CR548872 |
ज़्यादा | Nexus 5 | 13 मार्च, 2014 |
| CVE-2014-9779 | A-28598347 QC-CR548679 |
ज़्यादा | Nexus 5 | 13 मार्च, 2014 |
| CVE-2014-9780 | A-28602014 QC-CR542222 |
ज़्यादा | Nexus 5, Nexus 5X, Nexus 6P | 13 मार्च, 2014 |
| CVE-2014-9789 | A-28749392 QC-CR556425 |
ज़्यादा | Nexus 5 | 13 मार्च, 2014 |
| CVE-2014-9793 | A-28821253 QC-CR580567 |
ज़्यादा | Nexus 7 (2013) | 13 मार्च, 2014 |
| CVE-2014-9782 | A-28431531 QC-CR511349 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9783 | A-28441831 QC-CR511382 [2] |
ज़्यादा | Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9785 | A-28469042 QC-CR545747 |
ज़्यादा | Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9787 | A-28571496 QC-CR545764 |
ज़्यादा | Nexus 7 (2013) | 31 मार्च, 2014 |
| CVE-2014-9784 | A-28442449 QC-CR585147 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9777 | A-28598501 QC-CR563654 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9778 | A-28598515 QC-CR563694 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9790 | A-28769136 QC-CR545716 [2] |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 30 अप्रैल, 2014 |
| CVE-2014-9792 | A-28769399 QC-CR550606 |
ज़्यादा | Nexus 5 | 30 अप्रैल, 2014 |
| CVE-2014-9797 | A-28821090 QC-CR674071 |
ज़्यादा | Nexus 5 | 3 जुलाई, 2014 |
| CVE-2014-9791 | A-28803396 QC-CR659364 |
ज़्यादा | Nexus 7 (2013) | 29 अगस्त, 2014 |
| CVE-2014-9796 | A-28820722 QC-CR684756 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 30 सितंबर, 2014 |
| CVE-2014-9800 | A-28822150 QC-CR692478 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 अक्टूबर, 2014 |
| CVE-2014-9799 | A-28821731 QC-CR691916 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 अक्टूबर, 2014 |
| CVE-2014-9801 | A-28822060 QC-CR705078 |
ज़्यादा | Nexus 5 | 28 नवंबर, 2014 |
| CVE-2014-9802 | A-28821965 QC-CR705108 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 31 दिसंबर, 2014 |
| CVE-2015-8891 | A-28842418 QC-CR813930 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 29 मई, 2015 |
| CVE-2015-8888 | A-28822465 QC-CR813933 |
ज़्यादा | Nexus 5 | 30 जून, 2015 |
| CVE-2015-8889 | A-28822677 QC-CR804067 |
ज़्यादा | Nexus 6P | 30 जून, 2015 |
| CVE-2015-8890 | A-28822878 QC-CR823461 |
ज़्यादा | Nexus 5, Nexus 7 (2013) | 19 अगस्त, 2015 |
* इन समस्याओं की गंभीरता की रेटिंग, सीधे तौर पर Qualcomm देता है.
Qualcomm यूएसबी ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm यूएसबी ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2502 | A-27657963 QC-CR997044 | ज़्यादा | Nexus 5X, Nexus 6P | 11 मार्च, 2016 |
Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3792 | A-27725204 QC-CR561022 | ज़्यादा | Nexus 7 (2013) | 17 मार्च, 2016 |
Qualcomm कैमरा ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2501 | A-27890772* QC-CR1001092 | ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) | 27 मार्च, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
NVIDIA कैमरा ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
NVIDIA कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला लोकल ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3793 | A-28026625* N-CVE20163793 |
ज़्यादा | Nexus 9 | 5 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek पावर ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
MediaTek पावर ड्राइवर में विशेषाधिकार बढ़ाने से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3795 | A-28085222* M-ALPS02677244 |
ज़्यादा | Android One | 7 अप्रैल, 2016 |
| CVE-2016-3796 | A-29008443* M-ALPS02677244 |
ज़्यादा | Android One | 7 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3797 | A-28085680* QC-CR1001450 | ज़्यादा | Nexus 5X | 7 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek हार्डवेयर सेंसर ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
MediaTek हार्डवेयर सेंसर ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3798 | A-28174490* M-ALPS02703105 |
ज़्यादा | Android One | 11 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
MediaTek वीडियो ड्राइवर में, ऐक्सेस लेवल की सुविधा के गलत इस्तेमाल की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3799 | A-28175025* M-ALPS02693738 |
ज़्यादा | Android One | 11 अप्रैल, 2016 |
| CVE-2016-3800 | A-28175027* M-ALPS02693739 |
ज़्यादा | Android One | 11 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek जीपीएस ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
MediaTek GPS ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3801 | A-28174914* M-ALPS02688853 |
ज़्यादा | Android One | 11 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की आशंका
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3802 | A-28271368* | ज़्यादा | Nexus 9 | 19 अप्रैल, 2016 |
| CVE-2016-3803 | A-28588434* | ज़्यादा | Nexus 5X, Nexus 6P | 4 मई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek के पावर मैनेजमेंट ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
MediaTek के पावर मैनेजमेंट ड्राइवर में विशेषाधिकार बढ़ाने से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3804 | A-28332766* M-ALPS02694410 |
ज़्यादा | Android One | 20 अप्रैल, 2016 |
| CVE-2016-3805 | A-28333002* M-ALPS02694412 |
ज़्यादा | Android One | 21 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek डिसप्ले ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
MediaTek डिसप्ले ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3806 | A-28402341* M-ALPS02715341 |
ज़्यादा | Android One | 26 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
सीरियल पेरिफ़रल इंटरफ़ेस ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
सीरियल पेरिफ़रल इंटरफ़ेस ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3807 | A-28402196* | ज़्यादा | Nexus 5X, Nexus 6P | 26 अप्रैल, 2016 |
| CVE-2016-3808 | A-28430009* | ज़्यादा | Pixel C | 26 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm साउंड ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm साउंड ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2068 | A-28470967 QC-CR1006609 | ज़्यादा | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 28 अप्रैल, 2016 |
कर्नेल में प्रिविलेज एस्केलेशन की समस्या
कर्नेल में प्रिविलेज एस्केलेशन की समस्या होने पर, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9803 | A-28557020 अपस्ट्रीम कर्नेल |
ज़्यादा | Nexus 5X, Nexus 6P | सिर्फ़ Google के लिए |
नेटवर्किंग कॉम्पोनेंट में, जानकारी ज़ाहिर होने की समस्या
नेटवर्किंग कॉम्पोनेंट में जानकारी ज़ाहिर करने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3809 | A-27532522* | ज़्यादा | सभी Nexus डिवाइस | 5 मार्च, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
MediaTek वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी है. इससे, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3810 | A-28175522* M-ALPS02694389 |
ज़्यादा | Android One | 12 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
कर्नेल वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
कर्नेल वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3811 | A-28447556* | काफ़ी हद तक ठीक है | Nexus 9 | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek वीडियो कोडेक ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी समस्या
MediaTek वीडियो कोडेक ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3812 | A-28174833* M-ALPS02688832 |
काफ़ी हद तक ठीक है | Android One | 11 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm यूएसबी ड्राइवर में, जानकारी ज़ाहिर होने की समस्या
Qualcomm USB ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3813 | A-28172322* QC-CR1010222 | काफ़ी हद तक ठीक है | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P | 11 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
NVIDIA कैमरा ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
NVIDIA कैमरा ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3814 | A-28193342* N-CVE20163814 |
काफ़ी हद तक ठीक है | Nexus 9 | 14 अप्रैल, 2016 |
| CVE-2016-3815 | A-28522274* N-CVE20163815 |
काफ़ी हद तक ठीक है | Nexus 9 | 1 मई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek डिसप्ले ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
MediaTek डिसप्ले ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3816 | A-28402240* | काफ़ी हद तक ठीक है | Android One | 26 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
kernel teletype driver में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
टेलीटाइप ड्राइवर में जानकारी ज़ाहिर करने की जोखिम वाली स्थिति की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-0723 | A-28409131 अपस्ट्रीम कर्नल |
काफ़ी हद तक ठीक है | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C | 26 अप्रैल, 2016 |
Qualcomm बूटलोडर में, सेवा में रुकावट की समस्या
Qualcomm बूटलोडर में, सेवा के अस्वीकार होने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, डिवाइस को हमेशा के लिए खराब कर सकता है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस में बदलाव करना पड़ता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Nexus डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9798 | A-28821448 QC-CR681965 | काफ़ी हद तक ठीक है | Nexus 5 | 31 अक्टूबर, 2014 |
| CVE-2015-8893 | A-28822690 QC-CR822275 | काफ़ी हद तक ठीक है | Nexus 5, Nexus 7 (2013) | 19 अगस्त, 2015 |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
01-07-2016 या उसके बाद के सुरक्षा पैच के लेवल, 01-07-2016 के सुरक्षा पैच की स्ट्रिंग के लेवल से जुड़ी सभी समस्याओं को हल करते हैं. 05-07-2016 या उसके बाद के सुरक्षा पैच के लेवल, 05-07-2016 के सुरक्षा पैच की स्ट्रिंग के लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं. सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, सहायता केंद्र पर जाएं. जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-07-01] या [ro.build.version.security_patch]:[2016-07-05].
2. इस सूचना में, सुरक्षा पैच लेवल की दो स्ट्रिंग क्यों हैं?
इस सूचना में, सुरक्षा पैच के दो लेवल की स्ट्रिंग हैं. इससे Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर पाएंगे. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा से जुड़े नए पैच लेवल की स्ट्रिंग का इस्तेमाल करने का सुझाव दिया जाता है.
जिन डिवाइसों में 5 जुलाई, 2016 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
जिन डिवाइसों में 1 जुलाई, 2016 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं होनी चाहिए. साथ ही, उनमें पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी होने चाहिए. जिन डिवाइसों में 1 जुलाई, 2016 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें 5 जुलाई, 2016 के सिक्योरिटी पैच लेवल से जुड़े सुधारों का सबसेट भी शामिल हो सकता है.
3. मैं कैसे पता लगाऊं कि हर समस्या से किन Nexus डिवाइसों पर असर पड़ा है?
01-07-2016 और 05-07-2016 को सुरक्षा से जुड़ी जोखिम की जानकारी वाले सेक्शन में, हर टेबल में 'अपडेट किए गए Nexus डिवाइस' कॉलम होता है. इसमें, हर समस्या के लिए अपडेट किए गए उन Nexus डिवाइसों की जानकारी होती है जिन पर असर पड़ा है. इस कॉलम में कुछ विकल्प होते हैं:
- सभी Nexus डिवाइस: अगर किसी समस्या का असर सभी Nexus डिवाइसों पर पड़ता है, तो टेबल में अपडेट किए गए Nexus डिवाइस कॉलम में “सभी Nexus” दिखेगा. “सभी Nexus” में ये डिवाइस शामिल हैं: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, और Pixel C.
- कुछ Nexus डिवाइसों पर: अगर किसी समस्या का असर सभी Nexus डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Nexus डिवाइसों कॉलम में दी जाती है.
- कोई Nexus डिवाइस नहीं: अगर किसी Nexus डिवाइस पर इस समस्या का असर नहीं पड़ा है, तो टेबल में अपडेट किए गए Nexus डिवाइस कॉलम में “कोई नहीं” दिखेगा.
4. रेफ़रंस कॉलम में मौजूद एंट्री किससे मैप होती हैं?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है. ये प्रीफ़िक्स इस तरह मैप होते हैं:
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
संशोधन
- 06 जुलाई, 2016: बुलेटिन पब्लिश किया गया.
- 07 जुलाई, 2016:
- AOSP लिंक जोड़े गए.
- CVE-2016-3794 को हटा दिया गया है, क्योंकि यह CVE-2016-3814 का डुप्लीकेट है
- CVE-2016-2501 और CVE-2016-2502 के लिए एट्रिब्यूशन जोड़ा गया
- 11 जुलाई, 2016: CVE-2016-3750 के लिए अपडेट किया गया एट्रिब्यूशन
- 14 जुलाई, 2016: CVE-2016-2503 के लिए एट्रिब्यूशन अपडेट किया गया
- 1 अप्रैल, 2019: CVE-2016-3818 के लिए, पैच के अपडेट किए गए लिंक