06 सितम्बर 2016 को प्रकाशित | 12 सितंबर 2016 को अपडेट किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 06 सितंबर 2016 या उसके बाद के सुरक्षा पैच स्तर इन मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ देखें। समर्थित नेक्सस डिवाइस को 06 सितंबर, 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 05 अगस्त 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा के विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाएं
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक सबसेट को ठीक करने के लिए अधिक तेज़ी से आगे बढ़ने की लचीलापन प्रदान करने के लिए तीन सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-09-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-09-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-09-05 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-09-01 और 2016-09-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-09-06 : संपूर्ण सुरक्षा पैच स्तरीय स्ट्रिंग, जो उन समस्याओं का समाधान करती है जो भागीदारों को इस बुलेटिन में अधिकांश समस्याओं के बारे में सूचित किए जाने के बाद खोजी गई थीं। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-09-01, 2016-09-05 और 2016-09-06 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित नेक्सस डिवाइस को 06 सितंबर, 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- कार्नेगी मेलन विश्वविद्यालय के कोरी प्रूस: सीवीई-2016-3897
- गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-3869, सीवीई-2016-3865, सीवीई-2016-3866, सीवीई-2016-3867
- सिक्योरिटी रिसर्च लैब, चीता मोबाइल के हाओ किन: सीवीई-2016-3863
- Google प्रोजेक्ट ज़ीरो के जेन हॉर्न: CVE-2016-3885
- जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के पीजेएफ , क्यूहू 360: सीवीई-2016-3858
- जोशुआ ड्रेक ( @jduck ): CVE-2016-3861
- सीआईएसपीए, सारलैंड विश्वविद्यालय की मधु प्रिया मुरुगन: सीवीई-2016-3896
- Google के Makoto Onuki: CVE-2016-3876
- Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-3861
- Android सुरक्षा का अधिकतम स्पेक्टर: CVE-2016-3888
- Android सुरक्षा का मैक्स स्पेक्टर और क्वान टू: CVE-2016-3889
- मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3895
- टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे ): सीवीई-2016-2446 से संबंधित अतिरिक्त मुद्दों की खोज
- Google के ओलेक्सी व्यालोव: CVE-2016-3890
- Google Chrome सुरक्षा टीम के ओलिवर चांग: CVE-2016-3880
- अलीबाबा मोबाइल सिक्योरिटी ग्रुप के पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग और यांग गीत: सीवीई-2016-3859
- टीम Lv51 के रोनाल्ड एल लूर वर्गास ( @loor_rlv ): CVE-2016-3886
- सागी केडमी, आईबीएम सुरक्षा एक्स-फोर्स शोधकर्ता: सीवीई-2016-3873
- स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-3893, CVE-2016-3868, CVE-2016-3867
- ट्रेंडमाइक्रो के सेवन शेन ( @lingtongshen ): CVE-2016-3894
- सेंटिनलवन/रेडनागा के टिम स्ट्रैज़ेरे ( @timstrazz ): CVE-2016-3862
- ट्रॉटमास्टर ( @trotmaster99 ): CVE-2016-3883
- Google के विक्टर चांग: CVE-2016-3887
- Google के विग्नेश वेंकटसुब्रमण्यम: CVE-2016-3881
- अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-3878
- वेन्के डू , मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3870, CVE-2016-3871, CVE-2016-3872
- ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-3892
- अलीबाबा इंक के ज़िंग्यू हे (何星宇) ( @Spid3r_ ) : CVE-2016-3879
- टीसीए लैब के याकोंग गु, सॉफ्टवेयर संस्थान, चीनी विज्ञान अकादमी: सीवीई-2016-3884
- मिशिगन विश्वविद्यालय के युरु शाओ एन आर्बर: सीवीई-2016-3898
2016-09-01 सुरक्षा पैच स्तर—सुरक्षा भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
LibUtils में रिमोट कोड निष्पादन भेद्यता
LibUtils में एक दूरस्थ कोड निष्पादन भेद्यता एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3861 | ए-29250543 [ 2 ] [ 3 ] [ 4 ] | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 9 जून 2016 |
मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता
मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3862 | ए-29270469 | गंभीर | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 जून 2016 |
MediaMuxer में रिमोट कोड निष्पादन भेद्यता
MediaMuxer में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। MediaMuxer का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च रेटिंग दी गई है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3863 | ए-29161888 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 6 जून 2016 |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3870 | ए-29421804 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 जून 2016 |
| सीवीई-2016-3871 | ए-29422022 [ 2 ] [ 3 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 जून 2016 |
| सीवीई-2016-3872 | ए-29421675 [ 2 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 जून 2016 |
डिवाइस बूट में विशेषाधिकार भेद्यता का बढ़ना
बूट अनुक्रम के दौरान विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण हमलावर को अक्षम होने के बावजूद सुरक्षित मोड में बूट करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3875 | ए-26251884 | उच्च | कोई नहीं* | 6.0, 6.0.1 | गूगल आंतरिक |
* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना
सेटिंग्स में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण हमलावर को अक्षम होने के बावजूद सुरक्षित मोड में बूट करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3876 | ए-29900345 | उच्च | सभी नेक्सस | 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
मीडियासर्वर में सेवा भेद्यता का खंडन
मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3899 | ए-29421811 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 जून 2016 |
| सीवीई-2016-3878 | ए-29493002 | उच्च | सभी नेक्सस* | 6.0, 6.0.1 | 17 जून 2016 |
| सीवीई-2016-3879 | ए-29770686 | उच्च | सभी नेक्सस* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 25 जून 2016 |
| सीवीई-2016-3880 | ए-25747670 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
| सीवीई-2016-3881 | ए-30013856 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना
टेलीफ़ोनी घटक में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन अनधिकृत प्रीमियम एसएमएस संदेश भेजने में सक्षम हो सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना उन्नत क्षमताएं हासिल करने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3883 | ए-28557603 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 3 मई 2016 |
अधिसूचना प्रबंधक सेवा में विशेषाधिकार भेद्यता का बढ़ना
अधिसूचना प्रबंधक सेवा में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है, जैसे कि कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3884 | ए-29421441 | मध्यम | सभी नेक्सस | 6.0, 6.0.1, 7.0 | 15 जून 2016 |
डिबगर्ड में विशेषाधिकार भेद्यता का बढ़ना
एकीकृत एंड्रॉइड डिबगर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एंड्रॉइड डिबगर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। विशेषाधिकार प्राप्त प्रक्रिया में स्थानीय मनमाने कोड निष्पादन की संभावना के कारण इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3885 | ए-29555636 | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 21 जून 2016 |
सिस्टम यूआई ट्यूनर में विशेषाधिकार भेद्यता का बढ़ना
सिस्टम यूआई ट्यूनर में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को डिवाइस लॉक होने पर संरक्षित सेटिंग्स को संशोधित करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि यह उपयोगकर्ता अनुमतियों का स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3886 | ए-30107438 | मध्यम | सभी नेक्सस | 7.0 | 23 जून 2016 |
सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना
सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को वीपीएन सेटिंग्स के लिए ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसका उपयोग एप्लिकेशन के अनुमति स्तर से बाहर के डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3887 | ए-29899712 | मध्यम | सभी नेक्सस | 7.0 | गूगल आंतरिक |
एसएमएस में विशेषाधिकार भेद्यता का बढ़ना
एसएमएस में विशेषाधिकार भेद्यता बढ़ने से स्थानीय हमलावर डिवाइस के प्रावधान से पहले प्रीमियम एसएमएस संदेश भेजने में सक्षम हो सकता है। फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की संभावना के कारण इसे मध्यम रेटिंग दी गई है, जिससे डिवाइस को सेट होने से पहले उपयोग करने से रोका जा सके।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3888 | ए-29420123 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना
सेटिंग्स में विशेषाधिकार भेद्यता का बढ़ना स्थानीय हमलावर को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने और डिवाइस तक पहुंच प्राप्त करने में सक्षम कर सकता है। फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की संभावना के कारण इसे मॉडरेट का दर्जा दिया गया है, जिससे डिवाइस को सफलतापूर्वक रीसेट किया जा सकता है और उसके सभी डेटा को मिटाया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3889 | ए-29194585 [ 2 ] | मध्यम | सभी नेक्सस | 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
जावा डिबग वायर प्रोटोकॉल में विशेषाधिकार भेद्यता का बढ़ना
जावा डिबग वायर प्रोटोकॉल में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसके लिए एक असामान्य डिवाइस कॉन्फ़िगरेशन की आवश्यकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3890 | ए-28347842 [ 2 ] | मध्यम | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
मीडियासर्वर में सूचना प्रकटीकरण भेद्यता
मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3895 | ए-29983260 | मध्यम | सभी नेक्सस | 6.0, 6.0.1, 7.0 | 4 जुलाई 2016 |
AOSP मेल में सूचना प्रकटीकरण भेद्यता
AOSP मेल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के अनुचित तरीके से डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3896 | ए-29767043 | मध्यम | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 जुलाई 2016 |
* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
वाई-फाई में सूचना प्रकटीकरण भेद्यता
वाई-फाई कॉन्फ़िगरेशन में सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3897 | ए-25624963 [ 2 ] | मध्यम | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 नवंबर 2015 |
* एंड्रॉइड 7.0 पर समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
टेलीफोनी में सेवा भेद्यता का खंडन
टेलीफ़ोनी घटक में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को लॉक स्क्रीन से 911 TTY कॉल को रोकने में सक्षम कर सकता है। किसी महत्वपूर्ण कार्य पर सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3898 | ए-29832693 | मध्यम | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 जून 2016 |
2016-09-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-9529 | ए-29510361 | गंभीर | नेक्सस 5, नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर, एंड्रॉइड वन | 6 जनवरी 2015 |
| सीवीई-2016-4470 | ए-29823941 | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर | 15 जून 2016 |
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2013-7446 | ए-29119002 | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन | 18 नवंबर 2015 |
कर्नेल नेटफ़िल्टर सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटफ़िल्टर सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3134 | ए-28940694 | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन | मार्च 9, 2016 |
कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3951 | ए-28744625 अपस्ट्रीम कर्नेल [ 2 ] | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन | 6 अप्रैल 2016 |
कर्नेल ध्वनि उपप्रणाली में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल ध्वनि सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-4655 | ए-29916012 | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर | 26 जून 2014 |
कर्नेल ASN.1 डिकोडर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल ASN.1 डिकोडर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2053 | ए-28751627 | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | 25 जनवरी 2016 |
क्वालकॉम रेडियो इंटरफ़ेस परत में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम रेडियो इंटरफ़ेस परत में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3864 | ए-28823714* क्यूसी-सीआर#913117 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | अप्रैल 29, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम सबसिस्टम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम सबसिस्टम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3858 | ए-28675151 क्यूसी-सीआर#1022641 | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | 9 मई 2016 |
कर्नेल नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-4805 | ए-28979703 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9 | 15 मई 2016 |
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3865 | ए-28799389* | उच्च | नेक्सस 5एक्स, नेक्सस 9 | 16 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3859 | ए-28815326* क्यूसी-सीआर#1034641 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी | 17 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3866 | ए-28868303* क्यूसी-सीआर#1032820 | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी | 18 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3867 | ए-28919863* क्यूसी-सीआर#1037897 | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | 21 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम पावर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम पावर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3868 | ए-28967028* क्यूसी-सीआर#1032875 | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | 25 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3869 | ए-29009982* बी-आरबी#96070 | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी | 27 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल eCryptfs फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल eCryptfs फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-1583 | ए-29444228 अपस्ट्रीम कर्नेल | उच्च | पिक्सेल सी | 1 जून 2016 |
NVIDIA कर्नेल में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च गंभीरता का दर्जा दिया गया है क्योंकि इसके लिए सबसे पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3873 | ए-29518457* एन-सीवीई-2016-3873 | उच्च | नेक्सस 9 | 20 जून 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3874 | ए-29944562 क्यूसी-सीआर#997797 [ 2 ] | उच्च | नेक्सस 5X | 1 जुलाई 2016 |
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता का खंडन
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता का खंडन किसी हमलावर को डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकता है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-1465 | ए-29506807 | उच्च | नेक्सस 5, नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन | 3 फ़रवरी 2015 |
| सीवीई-2015-5364 | ए-29507402 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन | 30 जून 2015 |
कर्नेल ext4 फ़ाइल सिस्टम में सेवा भेद्यता का खंडन
कर्नेल ext4 फ़ाइल सिस्टम में सेवा से इनकार की भेद्यता एक हमलावर को स्थानीय स्थायी सेवा से इनकार करने में सक्षम कर सकती है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है। स्थानीय स्तर पर स्थायी रूप से सेवा से इनकार की संभावना के कारण इस मुद्दे को उच्च श्रेणी का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8839 | ए-28760453* | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Android One | 4 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम एसपीएमआई ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम एसपीएमआई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3892 | ए-28760543* क्यूसी-सीआर#1024197 | मध्यम | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी | 13 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम ध्वनि कोडेक में सूचना प्रकटीकरण भेद्यता
क्वालकॉम साउंड कोडेक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3893 | ए-29512527 क्यूसी-सीआर#856400 | मध्यम | नेक्सस 6पी | 20 जून 2016 |
क्वालकॉम डीएमए घटक में सूचना प्रकटीकरण भेद्यता
क्वालकॉम डीएमए घटक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3894 | ए-29618014* क्यूसी-सीआर#1042033 | मध्यम | नेक्सस 6 | 23 जून 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता
कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-4998 | ए-29637687 अपस्ट्रीम कर्नेल [ 2 ] | मध्यम | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन | 24 जून 2016 |
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता का खंडन
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता की अस्वीकृति एक हमलावर को वाई-फाई क्षमताओं तक पहुंच को अवरुद्ध करने में सक्षम कर सकती है। वाई-फाई क्षमताओं की सेवा की अस्थायी दूरस्थ अस्वीकृति की संभावना के कारण इस समस्या को मध्यम के रूप में रेट किया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-2922 | ए-29409847 | मध्यम | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन | 4 अप्रैल 2015 |
क्वालकॉम घटकों में कमजोरियाँ
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं, जिनमें संभावित रूप से बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर शामिल हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2469 | क्यूसी-सीआर#997025 | उच्च | कोई नहीं | जून 2016 |
| सीवीई-2016-2469 | क्यूसी-सीआर#997015 | मध्यम | कोई नहीं | जून 2016 |
2016-09-06 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-09-06 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
कर्नेल साझा मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल साझा मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-5340 | ए-30652312 क्यूसी-सीआर#1008948 | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | 26 जुलाई 2016 |
क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2059 | ए-27045580 क्यूसी-सीआर#974577 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | फ़रवरी 4, 2016 |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
2016-09-01 या उसके बाद के सुरक्षा पैच स्तर 2016-09-01 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। 2016-09-05 या बाद के सुरक्षा पैच स्तर 2016-09-05 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। 2016-09-06 या बाद के सुरक्षा पैच स्तर 2016-09-06 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जाँच करने के निर्देशों के लिए सहायता केंद्र देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-09-01], [ro.build.version.security_patch]:[2016-09-05], या [ro.build.version.security_patch]:[2016-09-06]।
2. इस बुलेटिन में तीन सुरक्षा पैच स्तर की स्ट्रिंग क्यों हैं?
इस बुलेटिन में तीन सुरक्षा पैच स्तर के तार हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर स्ट्रिंग का उपयोग करने के लिए प्रोत्साहित किया जाता है।
6 सितंबर, 2016 को सुरक्षा पैच स्तर या नए का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए। यह पैच स्तर उन मुद्दों को संबोधित करने के लिए बनाया गया था जो भागीदारों के बाद खोजे गए थे, पहली बार इस बुलेटिन में अधिकांश मुद्दों के बारे में सूचित किया गया था।
5 सितंबर, 2016 को सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दे शामिल होने चाहिए, 1 सितंबर, 2016 सुरक्षा पैच स्तर और पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के लिए सुधार। 5 सितंबर, 2016 को सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में 6 सितंबर, 2016 के सुरक्षा पैच स्तर से जुड़े फिक्स का एक सबसेट भी शामिल हो सकता है।
1 सितंबर, 2016 को सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ -साथ पिछले सुरक्षा बुलेटिन में बताए गए सभी मुद्दों के लिए सुधार शामिल होना चाहिए। 1 सितंबर, 2016 को सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में 5 सितंबर, 2016 और 6 सितंबर, 2016 के सुरक्षा पैच स्तर से जुड़े फिक्स का एक सबसेट भी शामिल हो सकता है।
3 . मैं यह कैसे निर्धारित करूं कि प्रत्येक मुद्दे से कौन से नेक्सस डिवाइस प्रभावित होते हैं?
2016-09-01 , 2016-09-05 , और 2016-09-06 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अद्यतन नेक्सस डिवाइसेस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित नेक्सस उपकरणों की सीमा को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस उपकरणों को प्रभावित करती है, तो तालिका में अद्यतन किए गए नेक्सस डिवाइसेस कॉलम में "सभी नेक्सस" होंगे। "ऑल नेक्सस" निम्नलिखित समर्थित उपकरणों को एनकैप्सुलेट करता है: नेक्सस 5, नेक्सस 5x, नेक्सस 6, नेक्सस 6 पी, नेक्सस 7 (2013), नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
- कुछ नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस उपकरणों को प्रभावित नहीं करती है, तो प्रभावित नेक्सस डिवाइस अपडेट किए गए नेक्सस डिवाइसेस कॉलम में सूचीबद्ध हैं।
- कोई नेक्सस डिवाइस नहीं : यदि एंड्रॉइड 7.0 चलाने वाले कोई भी नेक्सस डिवाइस समस्या से प्रभावित नहीं होते हैं, तो अपडेट किए गए नेक्सस डिवाइसेस कॉलम में तालिका में "कोई नहीं" होगा।
4. संदर्भ कॉलम मैप में प्रविष्टियाँ क्या करती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्गों के नक्शे निम्नानुसार हैं:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
संशोधन
- 06 सितंबर, 2016: बुलेटिन प्रकाशित।
- 07 सितंबर, 2016: बुलेटिन ने AOSP लिंक को शामिल करने के लिए संशोधित किया।
- 12 सितंबर, 2016: बुलेटिन ने CVE-2016-3861 के लिए अद्यतन अद्यतन करने के लिए संशोधित किया और CVE-2016-3877 को हटा दिया।