01 अगस्त 2016 को प्रकाशित | 21 अक्टूबर 2016 को अद्यतन किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 अगस्त 2016 या उसके बाद के सुरक्षा पैच स्तर इन मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ देखें।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 06 जुलाई 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाएं
- बुलेटिन को सीवीई-2016-3856 को सही करके सीवीई-2016-2060 में संशोधित किया गया।
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को ठीक करने के लिए अधिक तेज़ी से आगे बढ़ने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-08-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-08-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-08-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-08-01 और 2016-08-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित नेक्सस डिवाइस को 05 अगस्त 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-3821, CVE-2016-3837
- एडम डोननफेल्ड एट अल। चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज लिमिटेड का: सीवीई-2016-2504
- चियाचिह वू ( @chiachih_wu ), मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3844
- चियाचिह वू ( @chiachih_wu ), युआन-त्सुंग लो ( computernik@gmail.com) , और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3857
- Google के डेविड बेंजामिन और केनी रूट: CVE-2016-3840
- अलीबाबा मोबाइल सुरक्षा टीम के दावेई पेंग ( Vinc3nt4H ): CVE-2016-3822
- कीनलैब के डि शेन ( @returnsme ), टेनसेंट: CVE- 2016-3842
- Google की डायने हैकबॉर्न: CVE-2016-2497
- Google डायनामिक टूल्स टीम के दिमित्री व्युकोव: CVE-2016-3841
- गेंग्जिया चेन ( @chengjia4574 ), आइसस्वॉर्ड लैब के पीजेएफ ( weibo.com/jfpan ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड : CVE-2016-3852
- अल्फ़ा टीम के गुआंग गोंग (龚广) ( @oldfresher ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड : CVE-2016-3834
- फोर्टिनेट की फोर्टीगार्ड लैब्स के काई लू ( @K3vinLuSec ): CVE-2016-3820
- कंडाला शिवराम रेड्डी, डीएस, और उप्पी: सीवीई-2016-3826
- मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3823, CVE-2016-3835, CVE-2016-3824, CVE-2016-3825
- टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे ): CVE-2016-3847, CVE-2016-3848
- पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग और अलीबाबा मोबाइल सिक्योरिटी ग्रुप का यांग गीत: सीवीई-2016-3845
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-3849
- वूयुन टैंगलैब के कियानवेई हू ( rayxcp@gmail.com ) : CVE-2016-3846
- किदान हे ( @flanker_hqd ) कीनलैब ( @keen_lab ), टेनसेंट: CVE-2016-3832
- Google के शर्विल नानावटी: CVE-2016-3839
- शिंजो पार्क ( @ad_ili_rai ) और दूरसंचार में सुरक्षा के अल्ताफ शेख: CVE-2016-3831
- टॉम रूटजंकी: सीवीई-2016-3853
- वसीली वासिलिव: सीवीई-2016-3819
- अलीबाबा इंक. के वीचाओ सन ( @sunblate ): CVE-2016-3827, CVE-2016-3828, CVE-2016-3829
- ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-3843
- टेनसेंट के ज़ुआनवु लैब के योंगके वांग ( @Rudykewang ): CVE-2016-3836
हम CVE-2016-3843 जैसी कमजोरियों के एक वर्ग को कम करने के लिए प्लेटफ़ॉर्म स्तर के अपडेट में उनके योगदान के लिए कॉपरहेड सिक्योरिटी के डैनियल मिके, जेफ वेंडर स्टॉप और Google के याबिन कुई को धन्यवाद देना चाहते हैं। यह शमन ग्रैसिक्युरिटी के ब्रैड स्पेंगलर के काम पर आधारित है।
2016-08-01 सुरक्षा पैच स्तर—सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-08-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे कि एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता
मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है। मीडियासर्वर प्रक्रिया में ऑडियो और वीडियो स्ट्रीम के साथ-साथ उन विशेषाधिकारों तक पहुंच होती है जिन्हें तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते।
प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3819 | ए-28533562 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 2 मई 2016 |
| सीवीई-2016-3820 | ए-28673410 | गंभीर | सभी नेक्सस | 6.0, 6.0.1 | 6 मई 2016 |
| सीवीई-2016-3821 | ए-28166152 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
लिबजहेड में रिमोट कोड निष्पादन भेद्यता
लिबजहेड में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3822 | ए-28868315 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3823 | ए-28815329 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई 2016 |
| सीवीई-2016-3824 | ए-28816827 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई 2016 |
| सीवीई-2016-3825 | ए-28816964 | उच्च | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 मई 2016 |
| सीवीई-2016-3826 | ए-29251553 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 9 जून 2016 |
मीडियासर्वर में सेवा भेद्यता का खंडन
मीडियासर्वर में सेवा से इनकार की भेद्यता एक हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3827 | ए-28816956 | उच्च | सभी नेक्सस | 6.0.1 | 16 मई 2016 |
| सीवीई-2016-3828 | ए-28835995 | उच्च | सभी नेक्सस | 6.0, 6.0.1 | 17 मई 2016 |
| सीवीई-2016-3829 | ए-29023649 | उच्च | सभी नेक्सस | 6.0, 6.0.1 | 27 मई 2016 |
| सीवीई-2016-3830 | ए-29153599 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
सिस्टम क्लॉक में सेवा भेद्यता का खंडन
सिस्टम क्लॉक में सेवा से इनकार की भेद्यता एक दूरस्थ हमलावर को डिवाइस को क्रैश करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3831 | ए-29083635 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 31 मई 2016 |
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग एप्लिकेशन के अनुमति स्तर से बाहर के डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3832 | ए-28795098 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 मई 2016 |
शेल में विशेषाधिकार भेद्यता का बढ़ना
शेल में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता प्रतिबंधों जैसी डिवाइस बाधाओं को बायपास करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि यह उपयोगकर्ता अनुमतियों का स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3833 | ए-29189712 [ 2 ] | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
ओपनएसएसएल में सूचना प्रकटीकरण भेद्यता
ओपनएसएसएल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2842 | ए-29060514 | कोई नहीं* | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1 | मार्च 29, 2016 |
* समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं
कैमरा एपीआई में सूचना प्रकटीकरण भेद्यता
कैमरा एपीआई में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा संरचनाओं तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3834 | ए-28466701 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | अप्रैल 28, 2016 |
मीडियासर्वर में सूचना प्रकटीकरण भेद्यता
मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3835 | ए-28920116 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 मई 2016 |
सरफेसफ्लिंगर में सूचना प्रकटीकरण भेद्यता
सरफेसफ्लिंगर सेवा में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3836 | ए-28592402 | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 मई 2016 |
वाई-फाई में सूचना प्रकटीकरण भेद्यता
वाई-फाई में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3837 | ए-28164077 | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
सिस्टम यूआई में सेवा भेद्यता का खंडन
सिस्टम यूआई में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को लॉक स्क्रीन से 911 कॉल को रोकने में सक्षम कर सकता है। किसी महत्वपूर्ण कार्य पर सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3838 | ए-28761672 | मध्यम | सभी नेक्सस | 6.0, 6.0.1 | गूगल आंतरिक |
ब्लूटूथ में सेवा भेद्यता का खंडन
ब्लूटूथ में सेवा से इनकार की भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ब्लूटूथ डिवाइस से 911 कॉल को रोकने में सक्षम कर सकती है। किसी महत्वपूर्ण कार्य पर सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3839 | ए-28885210 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
2016-08-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-08-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
क्वालकॉम वाई-फ़ाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता
क्वालकॉम वाई-फाई ड्राइवर में रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-9902 | ए-28668638 | गंभीर | नेक्सस 7 (2013) | मार्च 31, 2014 |
कॉन्स्क्रिप्ट में रिमोट कोड निष्पादन भेद्यता
कॉन्स्क्रिप्ट में एक दूरस्थ कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3840 | ए-28751153 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
क्वालकॉम घटकों में विशेषाधिकार भेद्यता का बढ़ना
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइव, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
इनमें से सबसे गंभीर समस्या को इस संभावना के कारण गंभीर दर्जा दिया गया है कि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित कर सकता है, जिससे स्थानीय स्थायी डिवाइस समझौता हो सकता है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-9863 | ए-28768146 | गंभीर | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9864 | ए-28747998 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 27 मार्च 2014 |
| सीवीई-2014-9865 | ए-28748271 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 27 मार्च 2014 |
| सीवीई-2014-9866 | ए-28747684 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9867 | ए-28749629 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9868 | ए-28749721 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9869 | ए-28749728 क्यूसी-सीआर#514711 [ 2 ] | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9870 | ए-28749743 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9871 | ए-28749803 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9872 | ए-28750155 | उच्च | नेक्सस 5 | मार्च 31, 2014 |
| सीवीई-2014-9873 | ए-28750726 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9874 | ए-28751152 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6पी, नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9875 | ए-28767589 | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9876 | ए-28767796 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9877 | ए-28768281 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9878 | ए-28769208 | उच्च | नेक्सस 5 | 30 अप्रैल 2014 |
| सीवीई-2014-9879 | ए-28769221 | उच्च | नेक्सस 5 | 30 अप्रैल 2014 |
| सीवीई-2014-9880 | ए-28769352 | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9881 | ए-28769368 | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9882 | ए-28769546 क्यूसी-सीआर#552329 [ 2 ] | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9883 | ए-28769912 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9884 | ए-28769920 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9885 | ए-28769959 | उच्च | नेक्सस 5 | 30 अप्रैल 2014 |
| सीवीई-2014-9886 | ए-28815575 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9887 | ए-28804057 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 3 जुलाई 2014 |
| सीवीई-2014-9888 | ए-28803642 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 29 अगस्त 2014 |
| सीवीई-2014-9889 | ए-28803645 | उच्च | नेक्सस 5 | 31 अक्टूबर 2014 |
| सीवीई-2015-8937 | ए-28803962 | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 7 (2013) | मार्च 31, 2015 |
| सीवीई-2015-8938 | ए-28804030 | उच्च | नेक्सस 6 | मार्च 31, 2015 |
| सीवीई-2015-8939 | ए-28398884 | उच्च | नेक्सस 7 (2013) | 30 अप्रैल 2015 |
| सीवीई-2015-8940 | ए-28813987 | उच्च | नेक्सस 6 | 30 अप्रैल 2015 |
| सीवीई-2015-8941 | ए-28814502 | उच्च | नेक्सस 6, नेक्सस 7 (2013) | 29 मई 2015 |
| सीवीई-2015-8942 | ए-28814652 | उच्च | नेक्सस 6 | 30 जून 2015 |
| सीवीई-2015-8943 | ए-28815158 | उच्च | नेक्सस 5 | सितम्बर 11, 2015 |
| सीवीई-2014-9891 | ए-28749283 | मध्यम | नेक्सस 5 | मार्च 13, 2014 |
| सीवीई-2014-9890 | ए-28770207 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | 2 जून 2014 |
कर्नेल नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-2686 | ए-28759139 | गंभीर | सभी नेक्सस | मार्च 23, 2015 |
| सीवीई-2016-3841 | ए-28746669 | गंभीर | सभी नेक्सस | 3 दिसंबर 2015 |
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2504 | ए-28026365 क्यूसी-सीआर#1002974 | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013) | 5 अप्रैल 2016 |
| सीवीई-2016-3842 | ए-28377352 क्यूसी-सीआर#1002974 | गंभीर | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी | 25 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
ध्यान दें: इस बुलेटिन में ए-29119870 के तहत एक प्लेटफ़ॉर्म-स्तरीय अपडेट भी है जो इस वर्ग की कमजोरियों को कम करने के लिए डिज़ाइन किया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3843 | ए-28086229* क्यूसी-सीआर#1011071 | गंभीर | नेक्सस 5एक्स, नेक्सस 6पी | 7 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3857 | ए-28522518* | गंभीर | नेक्सस 7 (2013) | 2 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल मेमोरी सिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल मेमोरी सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-1593 | ए-29577822 | उच्च | नेक्सस प्लेयर | फ़रवरी 13, 2015 |
| सीवीई-2016-3672 | ए-28763575 | उच्च | नेक्सस प्लेयर | मार्च 25, 2016 |
कर्नेल ध्वनि घटक में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल ध्वनि घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2544 | ए-28695438 | उच्च | सभी नेक्सस | 19 जनवरी 2016 |
| सीवीई-2016-2546 | ए-28694392 | उच्च | पिक्सेल सी | 19 जनवरी 2016 |
| सीवीई-2014-9904 | ए-28592007 | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर | 4 मई 2016 |
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2012-6701 | ए-28939037 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 2 मार्च 2016 |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3844 | ए-28299517* एन-सीवीई-2016-3844 | उच्च | नेक्सस 9, पिक्सेल सी | 19 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3845 | ए-28399876* | उच्च | नेक्सस 5 | 20 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
सीरियल पेरिफेरल इंटरफ़ेस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
सीरियल पेरिफेरल इंटरफ़ेस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3846 | ए-28817378* | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | 17 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3847 | ए-28871433* एन-सीवीई-2016-3847 | उच्च | नेक्सस 9 | 19 मई 2016 |
| सीवीई-2016-3848 | ए-28919417* एन-सीवीई-2016-3848 | उच्च | नेक्सस 9 | 19 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3849 | ए-28939740 | उच्च | पिक्सेल सी | 24 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3850 | ए-27917291 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6पी, नेक्सस 7 (2013) | मार्च 28, 2016 |
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार कमजोरियों का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। हमलावरों के शोषण के लिए कर्नेल आक्रमण सतह उपलब्ध होने के कारण इस समस्या को उच्च दर्जा दिया गया है।
नोट: यह एक प्लेटफ़ॉर्म स्तरीय अपडेट है जिसे CVE-2016-3843 (A-28086229) जैसी कमजोरियों के वर्ग को कम करने के लिए डिज़ाइन किया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3843 | ए-29119870* | उच्च | सभी नेक्सस | 6.0, 6.1 | गूगल आंतरिक |
* इस मुद्दे का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
एलजी इलेक्ट्रॉनिक्स बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना
एलजी इलेक्ट्रॉनिक्स बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना एक हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3851 | ए-29189941* | उच्च | नेक्सस 5X | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
इनमें से सबसे गंभीर समस्या को इस संभावना के कारण उच्च रेटिंग दी गई है कि कोई स्थानीय दुर्भावनापूर्ण एप्लिकेशन अपने अनुमति स्तर के बाहर डेटा तक पहुंच सकता है जैसे कि स्पष्ट उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-9892 | ए-28770164 | उच्च | नेक्सस 5, नेक्सस 7 (2013) | 2 जून 2014 |
| सीवीई-2015-8944 | ए-28814213 | उच्च | नेक्सस 6, नेक्सस 7 (2013) | 30 अप्रैल 2015 |
| सीवीई-2014-9893 | ए-28747914 | मध्यम | नेक्सस 5 | 27 मार्च 2014 |
| सीवीई-2014-9894 | ए-28749708 | मध्यम | नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9895 | ए-28750150 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | मार्च 31, 2014 |
| सीवीई-2014-9896 | ए-28767593 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9897 | ए-28769856 | मध्यम | नेक्सस 5 | 30 अप्रैल 2014 |
| सीवीई-2014-9898 | ए-28814690 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | 30 अप्रैल 2014 |
| सीवीई-2014-9899 | ए-28803909 | मध्यम | नेक्सस 5 | 3 जुलाई 2014 |
| सीवीई-2014-9900 | ए-28803952 | मध्यम | नेक्सस 5, नेक्सस 7 (2013) | 8 अगस्त 2014 |
कर्नेल अनुसूचक में सूचना प्रकटीकरण भेद्यता
कर्नेल शेड्यूलर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-9903 | ए-28731691 | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | 21 फरवरी 2014 |
मीडियाटेक वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता (डिवाइस विशिष्ट)
मीडियाटेक वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3852 | ए-29141147* एम-एएलपीएस02751738 | उच्च | एंड्रॉयड वन | 12 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
USB ड्राइवर में सूचना प्रकटीकरण भेद्यता
USB ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-4482 | ए-28619695 | उच्च | सभी नेक्सस | 3 मई 2016 |
क्वालकॉम घटकों में सेवा भेद्यता का खंडन
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से वाई-फाई ड्राइवर भी शामिल है।
इनमें से सबसे गंभीर समस्या को इस संभावना के कारण उच्च रेटिंग दी गई है कि कोई हमलावर सेवा के अस्थायी दूरस्थ इनकार का कारण बन सकता है जिसके परिणामस्वरूप डिवाइस हैंग या रिबूट हो सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-9901 | ए-28670333 | उच्च | नेक्सस 7 (2013) | मार्च 31, 2014 |
Google Play सेवाओं में विशेषाधिकार भेद्यता का बढ़ना
Google Play सेवाओं में विशेषाधिकार भेद्यता बढ़ने से स्थानीय हमलावर को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति मिल सकती है। फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की संभावना के कारण इसे मॉडरेट का दर्जा दिया गया है, जिससे डिवाइस को सफलतापूर्वक रीसेट किया जा सकता है और उसके सभी डेटा को मिटाया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3853 | ए-26803208* | मध्यम | सभी नेक्सस | कोई नहीं | 4 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना
फ़्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना पहले से इंस्टॉल किए गए एप्लिकेशन को अपने इरादे फ़िल्टर प्राथमिकता को बढ़ाने में सक्षम कर सकता है जब एप्लिकेशन को उपयोगकर्ता को सूचित किए बिना अपडेट किया जा रहा हो। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना उन्नत क्षमताएं हासिल करने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2497 | ए-27450489 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
कर्नेल नेटवर्किंग घटक में सूचना प्रकटीकरण भेद्यता
कर्नेल नेटवर्किंग घटक में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-4486 | ए-28620102 | मध्यम | सभी नेक्सस | 3 मई 2016 |
कर्नेल ध्वनि घटक में सूचना प्रकटीकरण भेद्यता
कर्नेल ध्वनि घटक में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-4569 | ए-28980557 | मध्यम | सभी नेक्सस | 9 मई 2016 |
| सीवीई-2016-4578 | ए-28980217 अपस्ट्रीम कर्नेल [ 2 ] | मध्यम | सभी नेक्सस | 11 मई 2016 |
क्वालकॉम घटकों में कमजोरियाँ
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3854 | क्यूसी-सीआर#897326 | उच्च | कोई नहीं | फरवरी 2016 |
| सीवीई-2016-3855 | क्यूसी-सीआर#990824 | उच्च | कोई नहीं | मई 2016 |
| सीवीई-2016-2060 | क्यूसी-सीआर#959631 | मध्यम | कोई नहीं | अप्रैल 2016 |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
2016-08-01 या बाद के सुरक्षा पैच स्तर 2016-08-01 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। 2016-08-05 या उसके बाद के सुरक्षा पैच स्तर 2016-08-05 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जाँच करने के निर्देशों के लिए सहायता केंद्र देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-08-01] या [ro.build.version.security_patch]:[2016-08-05]।
2. इस बुलेटिन में दो सुरक्षा पैच स्तर की स्ट्रिंग क्यों हैं?
एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को ठीक करने के लिए अधिक तेज़ी से आगे बढ़ने की लचीलापन प्रदान करने के लिए इस बुलेटिन में दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर स्ट्रिंग का उपयोग करने के लिए प्रोत्साहित किया जाता है।
जो डिवाइस 5 अगस्त 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
जो डिवाइस 1 अगस्त 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए। जो डिवाइस 1 अगस्त, 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें 5 अगस्त, 2016 सुरक्षा पैच स्तर से जुड़े सुधारों का एक सबसेट भी शामिल हो सकता है।
3 . मैं यह कैसे निर्धारित करूँ कि प्रत्येक समस्या से कौन-से Nexus डिवाइस प्रभावित हैं?
2016-08-01 और 2016-08-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड नेक्सस डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइसों की श्रृंखला को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित करती है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "सभी नेक्सस" होंगे। "ऑल नेक्सस" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: नेक्सस 5, नेक्सस 5X, नेक्सस 6, नेक्सस 6पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
- कुछ नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित नेक्सस डिवाइस अपडेटेड नेक्सस डिवाइस कॉलम में सूचीबद्ध होते हैं।
- कोई नेक्सस डिवाइस नहीं : यदि कोई नेक्सस डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "कोई नहीं" होगा।
4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
संशोधन
- 01 अगस्त 2016: बुलेटिन प्रकाशित.
- 02 अगस्त 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
- 16 अगस्त 2016: सीवीई-2016-3856 को सीवीई-2016-2060 में सुधारा गया और संदर्भ यूआरएल अपडेट किया गया।
- 21 अक्टूबर 2016: सीवीई-2016-4486 में टाइपो को ठीक किया गया।