Android सुरक्षा बुलेटिन—जुलाई 2016

पब्लिश करने की तारीख: 06 जुलाई, 2016 | अपडेट करने की तारीख: 1 अप्रैल, 2019

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के ज़रिए, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Nexus फ़र्मवेयर इमेज को Google Developer साइट पर भी रिलीज़ किया गया है. 05 जुलाई, 2016 या उसके बाद के सुरक्षा पैच लेवल, इस सूचना में बताई गई सभी समस्याओं को ठीक करते हैं. सिक्योरिटी पैच लेवल देखने का तरीका जानने के लिए, दस्तावेज़ देखें.

पार्टनर को 06 जून, 2016 या उससे पहले, बुलेटिन में बताई गई समस्याओं के बारे में सूचना दी गई थी. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.

हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सेवाओं और SafetyNet जैसी सेवाओं के बारे में ज़्यादा जानने के लिए, Android और Google की सेवाओं से जुड़ी समस्याओं को कम करने के तरीके सेक्शन देखें. ये सेवाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.

हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.

सूचनाएं

  • इस सूचना में, सिक्योरिटी पैच लेवल की दो स्ट्रिंग बताई गई हैं. इससे Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर पाएंगे. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और उनके जवाब देखें:
    • 01-07-2016: सुरक्षा पैच के लेवल की स्ट्रिंग का कुछ हिस्सा. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-07-2016 से जुड़ी सभी समस्याएं हल हो गई हैं.
    • 05-07-2016: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-07-2016 और 05-07-2016 से जुड़ी सभी समस्याएं हल हो गई हैं.
  • जिन Nexus डिवाइसों पर यह सुविधा काम करती है उन्हें 05 जुलाई, 2016 के सिक्योरिटी पैच लेवल के साथ, एक ओटीए अपडेट मिलेगा.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी समस्याओं को कम करने के तरीकों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

  • Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
  • Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. इन सुविधाओं को, नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देने के लिए डिज़ाइन किया गया है. Google Mobile Services वाले डिवाइसों पर, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं. Google Play पर, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले टूल उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने की सुविधा, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर, उपयोगकर्ताओं को चेतावनी देती है. भले ही, वह ऐप्लिकेशन किसी भी सोर्स से डाउनलोड किया गया हो. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा के जोखिम का फ़ायदा उठाते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
  • Google Hangouts और Messenger ऐप्लिकेशन, Mediaserver जैसी प्रोसेस को मीडिया को अपने-आप पास नहीं करते.

आभार

हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:

  • Google Chrome की सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग, और मार्टिन बारबेला: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • Check Point Software Technologies Ltd. के ऐडम डॉनफ़ेल्ड वगैरह: CVE-2016-2503
  • Google के एडम पॉवेल: CVE-2016-3752
  • Context Information Security के एलेक्स चैपमैन और पॉल स्टोन: CVE-2016-3763
  • e2e-assure के ऐंडी टायलर (@ticarpi): CVE-2016-2457
  • Google Project Zero के बेन हॉक्स: CVE-2016-3775
  • C0RE टीम के चियाची वू (@chiachih_wu), युआन-त्सुंग लो (computernik@gmail.com), और शुशियन जियांग: CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, CVE-2016-3774
  • Google के क्रिस्टोफ़र टेट: CVE-2016-3759
  • Tencent के KeenLab (@keen_lab) के डि शेन (@returnsme): CVE-2016-3762
  • Gengjia Chen (@chengjia4574), IceSword Lab के pjf (weibo.com/jfpan), Qihoo 360 Technology Co. Ltd.: CVE-2016-3806, CVE-2016-3816, CVE-2016-3805, CVE-2016-3804, CVE-2016-3767, CVE-2016-3810, CVE-2016-3795, CVE-2016-3796
  • Google Android टीम के ग्रैग कैसर: CVE-2016-3758
  • Qihoo 360 Technology Co. Ltd की मोबाइल सेफ़ टीम के गुआंग गोंग (龚广) (@oldfresher): CVE-2016-3764
  • Qihoo 360 Technology Co. Ltd की Alpha Team के हाओ चेन और गुआंग गोंग: CVE-2016-3792, CVE-2016-3768
  • Cheetah Mobile की सुरक्षा रिसर्च लैब के हाओ किन: CVE-2016-3754, CVE-2016-3766
  • Qihoo 360 Technology Co.Ltd के IceSword Lab के @jianqiangzhao और pjf (weibo. com/jfpan): CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, CVE-2016-3808
  • Google के मार्को नेलिसन: CVE-2016-3818
  • Google Project Zero का Mark Brand: CVE-2016-3757
  • Michał Bednarski: CVE-2016-3750
  • C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), चियाचीह वू (@chiachih_wu), और जूशियन जियांग: CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • Alibaba के मोबाइल सिक्योरिटी ग्रुप के ये लोग: पेंग ज़ियाओ, चेनिमिंग यांग, निंग यू, चाओ यांग, और यांग सॉन्ग: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
  • Trend Micro के पीटर पाई (@heisecode): CVE-2016-3793
  • Google के रिक वाई: CVE-2016-3749
  • Roeland Krak: CVE-2016-3753
  • स्कॉट बाउर (@ScottyBauer1): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • वसीली वासिलेव: CVE-2016-2507
  • Alibaba Inc. के वेईचाओ सुन (@sunblate): CVE-2016-2508, CVE-2016-3755
  • Tencent के KeenLab (@keen_lab) के वेन न्यौ (@NWMonster): CVE-2016-3809
  • Tencent Security Platform Department के Xiling Gong: CVE-2016-3745
  • TCA Lab, Institute of Software, चाइनीज़ अकैडमी ऑफ़ साइंसेज़ के Yacong Gu: CVE-2016-3761
  • Tencent के Xuanwu LAB के @Rudykewang: CVE-2016-2505
  • ज़ुआनवु लैब, Tencent के @Rudykewang और @Danny__Wei: CVE-2016-2506
  • Baidu X-Lab के युलोंग ज़ैंग और ताओ (Lenx) वेई: CVE-2016-3744

01-07-2016 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी जोखिम की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-07-2016 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और CVE, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Nexus डिवाइसों, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख की टेबल शामिल होती है. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं.

Mediaserver में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या

Mediaserver में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. Mediaserver प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है. Mediaserver प्रोसेस के पास ऑडियो और वीडियो स्ट्रीम का ऐक्सेस होता है. साथ ही, उसमें ऐसी सुविधाओं का ऐक्सेस भी होता है जिन्हें आम तौर पर तीसरे पक्ष के ऐप्लिकेशन ऐक्सेस नहीं कर सकते.

जिस फ़ंक्शन पर असर पड़ा है उसे ऑपरेटिंग सिस्टम के मुख्य हिस्से के तौर पर उपलब्ध कराया जाता है. साथ ही, ऐसे कई ऐप्लिकेशन हैं जिनकी मदद से, रिमोट कॉन्टेंट के ज़रिए उस फ़ंक्शन को ऐक्सेस किया जा सकता है. इनमें मल्टीमीडिया मैसेज (एमएमएस) और ब्राउज़र से मीडिया चलाने की सुविधा सबसे अहम है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-2506 A-28175045 सबसे अहम सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 अप्रैल, 2016
CVE-2016-2505 A-28333006 सबसे अहम सभी Nexus डिवाइस 6.0, 6.0.1 21 अप्रैल, 2016
CVE-2016-2507 A-28532266 सबसे अहम सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 मई, 2016
CVE-2016-2508 A-28799341 [2] सबसे अहम सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 मई, 2016
CVE-2016-3741 A-28165661 [2] सबसे अहम सभी Nexus डिवाइस 6.0, 6.0.1 सिर्फ़ Google के लिए
CVE-2016-3742 A-28165659 सबसे अहम सभी Nexus डिवाइस 6.0, 6.0.1 सिर्फ़ Google के लिए
CVE-2016-3743 A-27907656 सबसे अहम सभी Nexus डिवाइस 6.0, 6.0.1 सिर्फ़ Google के लिए

OpenSSL और BoringSSL में, रिमोट कोड को लागू करने से जुड़ी जोखिम

OpenSSL और BoringSSL में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी जोखिम की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. इस समस्या को गंभीर के तौर पर रेटिंग दी गई है, क्योंकि इससे किसी प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-2108 A-28175332 सबसे अहम सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 मई, 2016

ब्लूटूथ में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या

ब्लूटूथ में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी कमज़ोरी की वजह से, किसी हैकर को जोड़ने की प्रोसेस के दौरान, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. ब्लूटूथ डिवाइस को शुरू करने के दौरान, रिमोट कोड लागू होने की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3744 A-27930580 ज़्यादा सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 30 मार्च, 2016

libpng में प्रिविलेज एस्कलेशन की समस्या

libpng में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को खास सुविधाओं वाले सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem अनुमतियों के विशेषाधिकार. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं की जा सकतीं.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3751 A-23265085 ज़्यादा सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 दिसंबर, 2015

Mediaserver में प्रिविलेज एस्केलेशन की समस्या

Mediaserver में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को ऐक्सेस लेवल बढ़ाए गए सिस्टम ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल ज़्यादा सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. जैसे, Signature या SignatureOrSystem की अनुमतियों के विशेषाधिकार. ये सुविधाएं, तीसरे पक्ष के ऐप्लिकेशन के लिए ऐक्सेस नहीं की जा सकतीं.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3745 A-28173666 ज़्यादा सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 अप्रैल, 2016
CVE-2016-3746 A-27890802 ज़्यादा सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 27 मार्च, 2016
CVE-2016-3747 A-27903498 ज़्यादा सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 28 मार्च, 2016

सॉकेट में प्रिविलेज एस्केलेशन की समस्या

सॉकेट में, विशेषाधिकार बढ़ाने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमतियों के लेवल से बाहर के सिस्टम कॉल ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है, क्योंकि इससे सुरक्षा से जुड़े उन उपायों को बायपास किया जा सकता है जिन्हें हमने प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को रोकने के लिए लागू किया है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3748 A-28171804 ज़्यादा सभी Nexus डिवाइस 6.0, 6.0.1 13 अप्रैल, 2016

LockSettingsService में प्रिविलेज एस्कलेशन की समस्या

LockSettingsService में प्रिविलेज एस्केलेशन की समस्या की वजह से, नुकसान पहुंचाने वाला ऐप्लिकेशन, उपयोगकर्ता की अनुमति के बिना स्क्रीन लॉक का पासवर्ड रीसेट कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग में बदलाव करने के लिए, उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3749 A-28163930 ज़्यादा सभी Nexus डिवाइस 6.0, 6.0.1 सिर्फ़ Google के लिए

फ़्रेमवर्क एपीआई में प्रिविलेज एस्कलेशन की समस्या

Parcels Framework API में, ऐक्सेस लेवल की सुविधा से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को ऑपरेटिंग सिस्टम की सुरक्षा को बायपास करने में मदद मिल सकती है. यह सुरक्षा, ऐप्लिकेशन के डेटा को अन्य ऐप्लिकेशन से अलग करती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उस डेटा को ऐक्सेस करने के लिए किया जा सकता है जिसका ऐप्लिकेशन के पास ऐक्सेस नहीं है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3750 A-28395952 ज़्यादा सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 दिसंबर, 2015

ChooserTarget सेवा में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

ChooserTarget सेवा में, विशेषाधिकार बढ़ाने की समस्या की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को किसी दूसरे ऐप्लिकेशन के संदर्भ में कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' रेटिंग दी गई है, क्योंकि इसका इस्तेमाल, अनुमति के बिना किसी दूसरे ऐप्लिकेशन की गतिविधियों को ऐक्सेस करने के लिए किया जा सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3752 A-28384423 ज़्यादा सभी Nexus डिवाइस 6.0, 6.0.1 सिर्फ़ Google के लिए

Mediaserver में जानकारी ज़ाहिर करने से जुड़ी समस्या

Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, रिमोट से हमला करने वाला व्यक्ति सुरक्षित डेटा ऐक्सेस कर सकता है. आम तौर पर, यह डेटा सिर्फ़ स्थानीय तौर पर इंस्टॉल किए गए उन ऐप्लिकेशन के लिए उपलब्ध होता है जो अनुमति का अनुरोध करते हैं. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3753 A-27210135 ज़्यादा कोई नहीं* 4.4.4 15 फ़रवरी, 2016

* जिन Nexus डिवाइसों पर यह सुविधा काम करती है और जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं उन पर इस समस्या का असर नहीं पड़ेगा.

OpenSSL में जानकारी ज़ाहिर करने से जुड़ी जोखिम

OpenSSL में जानकारी ज़ाहिर करने से जुड़ी समस्या की वजह से, रिमोट से हमला करने वाला व्यक्ति, सुरक्षित डेटा को ऐक्सेस कर सकता है. आम तौर पर, यह डेटा सिर्फ़ स्थानीय तौर पर इंस्टॉल किए गए उन ऐप्लिकेशन के लिए उपलब्ध होता है जो अनुमति का अनुरोध करते हैं. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-2107 A-28550804 ज़्यादा कोई नहीं* 4.4.4, 5.0.2, 5.1.1 13 अप्रैल, 2016

* जिन Nexus डिवाइसों पर यह सुविधा काम करती है और जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं उन पर इस समस्या का असर नहीं पड़ेगा.

Mediaserver में सेवा में रुकावट की समस्या

Mediaserver में सेवा में रुकावट से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह से तैयार की गई फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेट किया गया है, क्योंकि इसकी वजह से कुछ समय के लिए, रिमोट से सेवा में रुकावट आ सकती है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3754 A-28615448 [2] ज़्यादा सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 मई, 2016
CVE-2016-3755 A-28470138 ज़्यादा सभी Nexus डिवाइस 6.0, 6.0.1 29 अप्रैल, 2016
CVE-2016-3756 A-28556125 ज़्यादा सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 सिर्फ़ Google के लिए

libc में डिनायल ऑफ़ सर्विस (डीओएस) की समस्या

libc में, सेवा अस्वीकार करने से जुड़ी जोखिम की वजह से हमलावर, डिवाइस को हैंग या रीबूट करने के लिए, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल कर सकता है. इस समस्या को 'ज़्यादा' रेटिंग दी गई है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3818 A-28740702 [2] ज़्यादा कोई नहीं* 4.4.4 सिर्फ़ Google के लिए

* जिन Nexus डिवाइसों पर यह सुविधा काम करती है और जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं उन पर इस समस्या का असर नहीं पड़ेगा.

lsof में प्रिविलेज एस्केलेशन की समस्या

lsof में, विशेषाधिकार बढ़ाने की गड़बड़ी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, मनमुताबिक कोड चला सकता है. इससे डिवाइस को हमेशा के लिए हैक किया जा सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए असामान्य मैन्युअल तरीकों का इस्तेमाल करना पड़ता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3757 A-28175237 काफ़ी हद तक ठीक है सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 अप्रैल, 2016

DexClassLoader में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

DexClassLoader में प्रिविलेज एस्केलेशन की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को, प्रिविलेज वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए असामान्य मैन्युअल तरीकों का इस्तेमाल करना पड़ता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3758 A-27840771 काफ़ी हद तक ठीक है सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 सिर्फ़ Google के लिए

फ़्रेमवर्क एपीआई में प्रिविलेज एस्कलेशन की समस्या

Framework API में, ऐक्सेस लेवल की सुविधा से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को बैकअप की अनुमतियों का अनुरोध करने और पूरे बैकअप डेटा को इंटरसेप्ट करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए ऑपरेटिंग सिस्टम की सुरक्षा से जुड़ी खास अनुमतियों की ज़रूरत होती है. ये अनुमतियां, ऐप्लिकेशन के डेटा को दूसरे ऐप्लिकेशन से अलग करती हैं.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3759 A-28406080 काफ़ी हद तक ठीक है सभी Nexus डिवाइस 5.0.2, 5.1.1, 6.0, 6.0.1 सिर्फ़ Google के लिए

ब्लूटूथ में खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

ब्लूटूथ कॉम्पोनेंट में, ऐक्सेस लेवल बढ़ाने की सुविधा से, कोई स्थानीय हमलावर पुष्टि किए गए ऐसे ब्लूटूथ डिवाइस को जोड़ सकता है जो मुख्य उपयोगकर्ता के लिए बना रहता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, उपयोगकर्ता की अनुमति के बिना बेहतर सुविधाएं पाने के लिए किया जा सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3760 A-27410683 [2] [3] काफ़ी हद तक ठीक है सभी Nexus डिवाइस 5.0.2, 5.1.1, 6.0, 6.0.1 29 फ़रवरी, 2016

एनएफ़सी में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

एनएफ़सी में, ऐक्सेस लेवल बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला बैकग्राउंड ऐप्लिकेशन, फ़ोरग्राउंड ऐप्लिकेशन से जानकारी ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना बेहतर सुविधाएं पाने के लिए किया जा सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3761 A-28300969 काफ़ी हद तक ठीक है सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 20 अप्रैल, 2016

सॉकेट में प्रिविलेज एस्केलेशन की समस्या

सोकेट में, विशेषाधिकार बढ़ाने की समस्या की वजह से, स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को कुछ असामान्य सोकेट टाइप का ऐक्सेस मिल सकता है. इससे, हो सकता है कि कर्नेल के संदर्भ में मनमुताबिक कोड लागू हो जाए. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इससे सुरक्षा से जुड़े उपायों को बायपास किया जा सकता है. इससे, प्लैटफ़ॉर्म का गलत इस्तेमाल करने वाले लोगों को मुश्किल हो सकती है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3762 A-28612709 काफ़ी हद तक ठीक है सभी Nexus डिवाइस 5.0.2, 5.1.1, 6.0, 6.0.1 21 अप्रैल, 2016

प्रॉक्सी ऑटो-कॉन्फ़िगरेशन में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

प्रॉक्सी ऑटो-कॉन्फ़िगर कॉम्पोनेंट में, जानकारी ज़ाहिर करने की जोखिम की वजह से, किसी ऐप्लिकेशन को संवेदनशील जानकारी ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को मध्यम दर्जा दिया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3763 A-27593919 काफ़ी हद तक ठीक है सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 10 मार्च, 2016

Mediaserver में जानकारी ज़ाहिर करने से जुड़ी समस्या

Mediaserver में जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को संवेदनशील जानकारी ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3764 A-28377502 काफ़ी हद तक ठीक है सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 25 अप्रैल, 2016
CVE-2016-3765 A-28168413 काफ़ी हद तक ठीक है सभी Nexus डिवाइस 6.0, 6.0.1 8 अप्रैल, 2016

Mediaserver में सेवा में रुकावट की समस्या

Mediaserver में सेवा में रुकावट से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह से तैयार की गई फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसकी वजह से सेवा में रुकावट डाली जा सकती है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस AOSP के अपडेट किए गए वर्शन रिपोर्ट तारीख
CVE-2016-3766 A-28471206 [2] काफ़ी हद तक ठीक है सभी Nexus डिवाइस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 अप्रैल, 2016

05-07-2016 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-07-2016 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और CVE, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Nexus डिवाइसों, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख की टेबल शामिल होती है. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद के नंबर से लिंक किए जाते हैं.

Qualcomm जीपीयू ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

Qualcomm GPU ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-2503 A-28084795* QC-CR1006067 सबसे अहम Nexus 5X, Nexus 6P 5 अप्रैल, 2016
CVE-2016-2067 A-28305757 QC-CR988993 सबसे अहम Nexus 5X, Nexus 6, Nexus 6P 20 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना

MediaTek वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3767 A-28169363*
M-ALPS02689526
सबसे अहम Android One 6 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

Qualcomm के परफ़ॉर्मेंस कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

Qualcomm के परफ़ॉर्मेंस कॉम्पोनेंट में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3768 A-28172137* QC-CR1010644 सबसे अहम Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) 9 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

NVIDIA वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

NVIDIA वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3769 A-28376656*
N-CVE20163769
सबसे अहम Nexus 9 18 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek ड्राइवरों में, विशेषाधिकार बढ़ाने की समस्या (डिवाइस के हिसाब से)

MediaTek के कई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3770 A-28346752*
M-ALPS02703102
सबसे अहम Android One 22 अप्रैल, 2016
CVE-2016-3771 A-29007611*
M-ALPS02703102
सबसे अहम Android One 22 अप्रैल, 2016
CVE-2016-3772 A-29008188*
M-ALPS02703102
सबसे अहम Android One 22 अप्रैल, 2016
CVE-2016-3773 A-29008363*
M-ALPS02703102
सबसे अहम Android One 22 अप्रैल, 2016
CVE-2016-3774 A-29008609*
M-ALPS02703102
सबसे अहम Android One 22 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की आशंका

कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3775 A-28588279* सबसे अहम Nexus 5X, Nexus 6, Nexus 6P, और Nexus Player, Pixel C 4 मई, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

यूएसबी ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

यूएसबी ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2015-8816 A-28712303* सबसे अहम Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 4 मई, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

Qualcomm के कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

नीचे दी गई टेबल में, सुरक्षा से जुड़ी ऐसी समस्याओं के बारे में बताया गया है जिनका असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनमें बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर, और वीडियो ड्राइवर शामिल हैं.

इनमें से सबसे गंभीर समस्याओं को 'गंभीर' के तौर पर रेटिंग दी जाती है. ऐसा इसलिए, क्योंकि इनमें डिवाइस पर मनमुताबिक कोड चलाने की संभावना होती है. इससे डिवाइस पर हमेशा के लिए नुकसान पहुंच सकता है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE रेफ़रंस गंभीरता* अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2014-9795 A-28820720
QC-CR681957 [2]
सबसे अहम Nexus 5 8 अगस्त, 2014
CVE-2014-9794 A-28821172
QC-CR646385
सबसे अहम Nexus 7 (2013) 8 अगस्त, 2014
CVE-2015-8892 A-28822807
QC-CR902998
सबसे अहम Nexus 5X, Nexus 6P 30 दिसंबर, 2015
CVE-2014-9781 A-28410333
QC-CR556471
ज़्यादा Nexus 7 (2013) 6 फ़रवरी, 2014
CVE-2014-9786 A-28557260
QC-CR545979
ज़्यादा Nexus 5, Nexus 7 (2013) 13 मार्च, 2014
CVE-2014-9788 A-28573112
QC-CR548872
ज़्यादा Nexus 5 13 मार्च, 2014
CVE-2014-9779 A-28598347
QC-CR548679
ज़्यादा Nexus 5 13 मार्च, 2014
CVE-2014-9780 A-28602014
QC-CR542222
ज़्यादा Nexus 5, Nexus 5X, Nexus 6P 13 मार्च, 2014
CVE-2014-9789 A-28749392
QC-CR556425
ज़्यादा Nexus 5 13 मार्च, 2014
CVE-2014-9793 A-28821253
QC-CR580567
ज़्यादा Nexus 7 (2013) 13 मार्च, 2014
CVE-2014-9782 A-28431531
QC-CR511349
ज़्यादा Nexus 5, Nexus 7 (2013) 31 मार्च, 2014
CVE-2014-9783 A-28441831
QC-CR511382 [2]
ज़्यादा Nexus 7 (2013) 31 मार्च, 2014
CVE-2014-9785 A-28469042
QC-CR545747
ज़्यादा Nexus 7 (2013) 31 मार्च, 2014
CVE-2014-9787 A-28571496
QC-CR545764
ज़्यादा Nexus 7 (2013) 31 मार्च, 2014
CVE-2014-9784 A-28442449
QC-CR585147
ज़्यादा Nexus 5, Nexus 7 (2013) 30 अप्रैल, 2014
CVE-2014-9777 A-28598501
QC-CR563654
ज़्यादा Nexus 5, Nexus 7 (2013) 30 अप्रैल, 2014
CVE-2014-9778 A-28598515
QC-CR563694
ज़्यादा Nexus 5, Nexus 7 (2013) 30 अप्रैल, 2014
CVE-2014-9790 A-28769136
QC-CR545716 [2]
ज़्यादा Nexus 5, Nexus 7 (2013) 30 अप्रैल, 2014
CVE-2014-9792 A-28769399
QC-CR550606
ज़्यादा Nexus 5 30 अप्रैल, 2014
CVE-2014-9797 A-28821090
QC-CR674071
ज़्यादा Nexus 5 3 जुलाई, 2014
CVE-2014-9791 A-28803396
QC-CR659364
ज़्यादा Nexus 7 (2013) 29 अगस्त, 2014
CVE-2014-9796 A-28820722
QC-CR684756
ज़्यादा Nexus 5, Nexus 7 (2013) 30 सितंबर, 2014
CVE-2014-9800 A-28822150
QC-CR692478
ज़्यादा Nexus 5, Nexus 7 (2013) 31 अक्टूबर, 2014
CVE-2014-9799 A-28821731
QC-CR691916
ज़्यादा Nexus 5, Nexus 7 (2013) 31 अक्टूबर, 2014
CVE-2014-9801 A-28822060
QC-CR705078
ज़्यादा Nexus 5 28 नवंबर, 2014
CVE-2014-9802 A-28821965
QC-CR705108
ज़्यादा Nexus 5, Nexus 7 (2013) 31 दिसंबर, 2014
CVE-2015-8891 A-28842418
QC-CR813930
ज़्यादा Nexus 5, Nexus 7 (2013) 29 मई, 2015
CVE-2015-8888 A-28822465
QC-CR813933
ज़्यादा Nexus 5 30 जून, 2015
CVE-2015-8889 A-28822677
QC-CR804067
ज़्यादा Nexus 6P 30 जून, 2015
CVE-2015-8890 A-28822878
QC-CR823461
ज़्यादा Nexus 5, Nexus 7 (2013) 19 अगस्त, 2015

* इन समस्याओं की गंभीरता की रेटिंग, सीधे तौर पर Qualcomm देता है.

Qualcomm यूएसबी ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

Qualcomm यूएसबी ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-2502 A-27657963 QC-CR997044 ज़्यादा Nexus 5X, Nexus 6P 11 मार्च, 2016

Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3792 A-27725204 QC-CR561022 ज़्यादा Nexus 7 (2013) 17 मार्च, 2016

Qualcomm कैमरा ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

Qualcomm कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-2501 A-27890772* QC-CR1001092 ज़्यादा Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) 27 मार्च, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

NVIDIA कैमरा ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

NVIDIA कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला लोकल ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3793 A-28026625*
N-CVE20163793
ज़्यादा Nexus 9 5 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek पावर ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना

MediaTek पावर ड्राइवर में विशेषाधिकार बढ़ाने से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3795 A-28085222*
M-ALPS02677244
ज़्यादा Android One 7 अप्रैल, 2016
CVE-2016-3796 A-29008443*
M-ALPS02677244
ज़्यादा Android One 7 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3797 A-28085680* QC-CR1001450 ज़्यादा Nexus 5X 7 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek हार्डवेयर सेंसर ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

MediaTek हार्डवेयर सेंसर ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3798 A-28174490*
M-ALPS02703105
ज़्यादा Android One 11 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना

MediaTek वीडियो ड्राइवर में, ऐक्सेस लेवल की सुविधा के गलत इस्तेमाल की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3799 A-28175025*
M-ALPS02693738
ज़्यादा Android One 11 अप्रैल, 2016
CVE-2016-3800 A-28175027*
M-ALPS02693739
ज़्यादा Android One 11 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek जीपीएस ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका

MediaTek GPS ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3801 A-28174914*
M-ALPS02688853
ज़्यादा Android One 11 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की आशंका

कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3802 A-28271368* ज़्यादा Nexus 9 19 अप्रैल, 2016
CVE-2016-3803 A-28588434* ज़्यादा Nexus 5X, Nexus 6P 4 मई, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek के पावर मैनेजमेंट ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका

MediaTek के पावर मैनेजमेंट ड्राइवर में विशेषाधिकार बढ़ाने से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3804 A-28332766*
M-ALPS02694410
ज़्यादा Android One 20 अप्रैल, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
ज़्यादा Android One 21 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek डिसप्ले ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

MediaTek डिसप्ले ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3806 A-28402341*
M-ALPS02715341
ज़्यादा Android One 26 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

सीरियल पेरिफ़रल इंटरफ़ेस ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका

सीरियल पेरिफ़रल इंटरफ़ेस ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3807 A-28402196* ज़्यादा Nexus 5X, Nexus 6P 26 अप्रैल, 2016
CVE-2016-3808 A-28430009* ज़्यादा Pixel C 26 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

Qualcomm साउंड ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

Qualcomm साउंड ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-2068 A-28470967 QC-CR1006609 ज़्यादा Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 28 अप्रैल, 2016

कर्नेल में प्रिविलेज एस्केलेशन की समस्या

कर्नेल में प्रिविलेज एस्केलेशन की समस्या होने पर, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2014-9803 A-28557020
अपस्ट्रीम कर्नेल
ज़्यादा Nexus 5X, Nexus 6P सिर्फ़ Google के लिए

नेटवर्किंग कॉम्पोनेंट में, जानकारी ज़ाहिर होने की समस्या

नेटवर्किंग कॉम्पोनेंट में जानकारी ज़ाहिर करने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3809 A-27532522* ज़्यादा सभी Nexus डिवाइस 5 मार्च, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

MediaTek वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी है. इससे, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3810 A-28175522*
M-ALPS02694389
ज़्यादा Android One 12 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

कर्नेल वीडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

कर्नेल वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3811 A-28447556* काफ़ी हद तक ठीक है Nexus 9 सिर्फ़ Google के लिए

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek वीडियो कोडेक ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी समस्या

MediaTek वीडियो कोडेक ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3812 A-28174833*
M-ALPS02688832
काफ़ी हद तक ठीक है Android One 11 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

Qualcomm यूएसबी ड्राइवर में, जानकारी ज़ाहिर होने की समस्या

Qualcomm USB ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3813 A-28172322* QC-CR1010222 काफ़ी हद तक ठीक है Nexus 5, Nexus 5X, Nexus 6, Nexus 6P 11 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

NVIDIA कैमरा ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

NVIDIA कैमरा ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3814 A-28193342*
N-CVE20163814
काफ़ी हद तक ठीक है Nexus 9 14 अप्रैल, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
काफ़ी हद तक ठीक है Nexus 9 1 मई, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

MediaTek डिसप्ले ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका

MediaTek डिसप्ले ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-3816 A-28402240* काफ़ी हद तक ठीक है Android One 26 अप्रैल, 2016

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

kernel teletype driver में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

टेलीटाइप ड्राइवर में जानकारी ज़ाहिर करने की जोखिम वाली स्थिति की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2016-0723 A-28409131
अपस्ट्रीम कर्नल
काफ़ी हद तक ठीक है Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 26 अप्रैल, 2016

Qualcomm बूटलोडर में, सेवा में रुकावट की समस्या

Qualcomm बूटलोडर में, सेवा के अस्वीकार होने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, डिवाइस को हमेशा के लिए खराब कर सकता है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस में बदलाव करना पड़ता है.

CVE रेफ़रंस गंभीरता अपडेट किए गए Nexus डिवाइस रिपोर्ट तारीख
CVE-2014-9798 A-28821448 QC-CR681965 काफ़ी हद तक ठीक है Nexus 5 31 अक्टूबर, 2014
CVE-2015-8893 A-28822690 QC-CR822275 काफ़ी हद तक ठीक है Nexus 5, Nexus 7 (2013) 19 अगस्त, 2015

आम तौर पर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

01-07-2016 या उसके बाद के सुरक्षा पैच के लेवल, 01-07-2016 के सुरक्षा पैच की स्ट्रिंग के लेवल से जुड़ी सभी समस्याओं को हल करते हैं. 05-07-2016 या उसके बाद के सुरक्षा पैच के लेवल, 05-07-2016 के सुरक्षा पैच की स्ट्रिंग के लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं. सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, सहायता केंद्र पर जाएं. जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग लेवल को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-07-01] या [ro.build.version.security_patch]:[2016-07-05].

2. इस सूचना में, सुरक्षा पैच लेवल की दो स्ट्रिंग क्यों हैं?

इस सूचना में, सुरक्षा पैच के दो लेवल की स्ट्रिंग हैं. इससे Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर पाएंगे. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा से जुड़े नए पैच लेवल की स्ट्रिंग का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 5 जुलाई, 2016 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

जिन डिवाइसों में 1 जुलाई, 2016 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं होनी चाहिए. साथ ही, उनमें पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी होने चाहिए. जिन डिवाइसों में 1 जुलाई, 2016 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें 5 जुलाई, 2016 के सिक्योरिटी पैच लेवल से जुड़े सुधारों का सबसेट भी शामिल हो सकता है.

3. मैं कैसे पता लगाऊं कि हर समस्या से किन Nexus डिवाइसों पर असर पड़ा है?

01-07-2016 और 05-07-2016 को सुरक्षा से जुड़ी जोखिम की जानकारी वाले सेक्शन में, हर टेबल में 'अपडेट किए गए Nexus डिवाइस' कॉलम होता है. इसमें, हर समस्या के लिए अपडेट किए गए उन Nexus डिवाइसों की जानकारी होती है जिन पर असर पड़ा है. इस कॉलम में कुछ विकल्प होते हैं:

  • सभी Nexus डिवाइस: अगर किसी समस्या का असर सभी Nexus डिवाइसों पर पड़ता है, तो टेबल में अपडेट किए गए Nexus डिवाइस कॉलम में “सभी Nexus” दिखेगा. “सभी Nexus” में ये डिवाइस शामिल हैं: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, और Pixel C.
  • कुछ Nexus डिवाइसों पर: अगर किसी समस्या का असर सभी Nexus डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Nexus डिवाइसों कॉलम में दी जाती है.
  • कोई Nexus डिवाइस नहीं: अगर किसी Nexus डिवाइस पर इस समस्या का असर नहीं पड़ा है, तो टेबल में अपडेट किए गए Nexus डिवाइस कॉलम में “कोई नहीं” दिखेगा.

4. रेफ़रंस कॉलम में मौजूद एंट्री किससे मैप होती हैं?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है. ये प्रीफ़िक्स इस तरह मैप होते हैं:

प्रीफ़िक्स रेफ़रंस
A- Android गड़बड़ी का आईडी
QC- Qualcomm का रेफ़रंस नंबर
M- MediaTek का रेफ़रंस नंबर
N- NVIDIA का रेफ़रंस नंबर

संशोधन

  • 06 जुलाई, 2016: बुलेटिन पब्लिश किया गया.
  • 07 जुलाई, 2016:
    • AOSP लिंक जोड़े गए.
    • CVE-2016-3794 को हटा दिया गया है, क्योंकि यह CVE-2016-3814 का डुप्लीकेट है
    • CVE-2016-2501 और CVE-2016-2502 के लिए एट्रिब्यूशन जोड़ा गया
  • 11 जुलाई, 2016: CVE-2016-3750 के लिए अपडेट किया गया एट्रिब्यूशन
  • 14 जुलाई, 2016: CVE-2016-2503 के लिए एट्रिब्यूशन अपडेट किया गया
  • 1 अप्रैल, 2019: CVE-2016-3818 के लिए, पैच के अपडेट किए गए लिंक