Android सुरक्षा बुलेटिन—अक्टूबर 2016

03 अक्टूबर 2016 को प्रकाशित | 04 अक्टूबर 2016 को अद्यतन किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 अक्टूबर 2016 या उसके बाद के सुरक्षा पैच स्तर इन मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ देखें। समर्थित नेक्सस डिवाइस को 05 अक्टूबर 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 06 सितंबर 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इनमें से सबसे गंभीर समस्या डिवाइस-विशिष्ट कोड में गंभीर सुरक्षा कमजोरियां हैं जो कर्नेल के संदर्भ में रिमोट कोड निष्पादन को सक्षम कर सकती हैं, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है। . गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाएं

  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2016-10-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-10-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2016-10-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-10-01 और 2016-10-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित नेक्सस डिवाइस को 05 अक्टूबर 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • आंद्रे टेक्सेरा रिज़ो: सीवीई-2016-3882
  • एंड्रिया बियोंडो: सीवीई-2016-3921
  • कॉपरहेड सुरक्षा के डैनियल मिके: सीवीई-2016-3922
  • Google के दिमित्री व्युकोव : CVE-2016-7117
  • डोसोमडर: सीवीई-2016-3931
  • ट्रेंड माइक्रो का एकुलर जू (徐健): CVE-2016-3920
  • गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-6690, सीवीई-2016-3901, सीवीई-2016-6672, सीवीई-2016-3940, सीवीई-2016-3935
  • हैंग झांग , डोंगडोंग शी , और यूसी रिवरसाइड के ज़ियुन कियान : सीवीई-2015-8950
  • अल्फा टीम के हाओ चेन, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-3860
  • Google प्रोजेक्ट ज़ीरो के जेन हॉर्न: CVE-2016-3900, CVE-2016-3885
  • जेसन रोजेना : सीवीई-2016-3917
  • जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, किहू 360 के पीजेएफ : सीवीई-2016-6688, सीवीई-2016-6677, सीवीई-2016-6673, सीवीई-2016-6687, सीवीई-2016-6686, सीवीई-2016-6681 , सीवीई-2016-6682, सीवीई-2016-3930
  • जोशुआ ड्रेक ( @jduck ): CVE-2016-3920
  • Google सुरक्षा टीम के मैकिएज सज़ाव्लोस्की: CVE-2016-3905
  • Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-6689
  • माइकल बेडनार्स्की : सीवीई-2016-3914, सीवीई-2016-6674, सीवीई-2016-3911, सीवीई-2016-3912
  • मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3933, CVE-2016-3932
  • नाइटवॉच साइबर सुरक्षा अनुसंधान ( @nightwatchcyber ): CVE-2016-5348
  • रोई हे, आईबीएम सिक्योरिटी एक्स-फोर्स शोधकर्ता: सीवीई-2016-6678
  • Google के सैमुअल टैन: CVE-2016-3925
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
  • ट्रेंड माइक्रो मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, सीवीई-2016-6694, सीवीई-2016-6695
  • वेन्के डू , मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3909
  • अल्फ़ा टीम के वेनलिन यांग और गुआंग गोंग (龚广) ( @oldfresher ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: CVE-2016-3918
  • ट्रेंड माइक्रो इंक के विश वू (吴潍浠) ( @wish_wu) : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
  • ईगलआई टीम के योंग शि, एससीसी, हुआवेई: सीवीई-2016-3938
  • झानपेंग झाओ (行之) ( @0xr0ot ) सुरक्षा अनुसंधान प्रयोगशाला, चीता मोबाइल : CVE-2016-3908

2016-10-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-10-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

सर्विसमैनेजर में विशेषाधिकार भेद्यता का बढ़ना

ServiceManager में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमानी सेवाओं को पंजीकृत करने में सक्षम कर सकता है जो आम तौर पर एक विशेषाधिकार प्राप्त प्रक्रिया, जैसे कि system_server द्वारा प्रदान की जाती हैं। सेवा प्रतिरूपण की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3900 ए-29431260 [ 2 ] उच्च सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 15 जून 2016

लॉक सेटिंग सेवा में विशेषाधिकार भेद्यता का बढ़ना

लॉक सेटिंग्स सेवा में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन डिवाइस पिन या पासवर्ड को साफ़ करने में सक्षम हो सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3908 ए-30003944 उच्च सभी नेक्सस 6.0, 6.0.1, 7.0 6 जुलाई 2016

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3909 ए-30033990 [ 2 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 8 जुलाई 2016
सीवीई-2016-3910 ए-30148546 उच्च सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 13 जुलाई 2016
सीवीई-2016-3913 ए-30204103 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18 जुलाई 2016

जाइगोट प्रक्रिया में विशेषाधिकार भेद्यता का बढ़ना

ज़ायगोट प्रक्रिया में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3911 ए-30143607 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 12 जुलाई 2016

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3912 ए-30202481 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 17 जुलाई 2016

टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना

टेलीफ़ोनी घटक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3914 ए-30481342 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 28 जुलाई 2016

कैमरा सेवा में विशेषाधिकार भेद्यता का बढ़ना

कैमरा सेवा में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3915 ए-30591838 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 1 अगस्त 2016
सीवीई-2016-3916 ए-30741779 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 2 अगस्त 2016

फ़िंगरप्रिंट लॉगिन में विशेषाधिकार भेद्यता का बढ़ना

फ़िंगरप्रिंट लॉगिन के दौरान विशेषाधिकार भेद्यता का बढ़ना एक दुर्भावनापूर्ण डिवाइस स्वामी को डिवाइस पर एक अलग उपयोगकर्ता खाते के रूप में लॉगिन करने में सक्षम कर सकता है। लॉकस्क्रीन बायपास की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3917 ए-30744668 उच्च सभी नेक्सस 6.0.1, 7.0 5 अगस्त 2016

AOSP मेल में सूचना प्रकटीकरण भेद्यता

AOSP मेल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3918 ए-30745403 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 अगस्त 2016

वाई-फाई में सेवा भेद्यता का खंडन

वाई-फाई में सेवा भेद्यता का खंडन एक स्थानीय निकटतम हमलावर को हॉटस्पॉट बनाने और डिवाइस को रीबूट करने में सक्षम कर सकता है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3882 ए-29464811 उच्च सभी नेक्सस 6.0, 6.0.1, 7.0 17 जून 2016

जीपीएस में सेवा भेद्यता का खंडन

जीपीएस घटक में सेवा से इनकार की भेद्यता एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-5348 ए-29555864 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 20 जून 2016

मीडियासर्वर में सेवा भेद्यता का खंडन

मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3920 ए-30744884 उच्च सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 5 अगस्त 2016

फ्रेमवर्क श्रोता में विशेषाधिकार भेद्यता का बढ़ना

फ़्रेमवर्क श्रोता में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3921 ए-29831647 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 25 जून 2016

टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना

टेलीफ़ोनी में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3922 ए-30202619 मध्यम सभी नेक्सस 6.0, 6.0.1, 7.0 17 जुलाई 2016

अभिगम्यता सेवाओं में विशेषाधिकार भेद्यता का बढ़ना

एक्सेसिबिलिटी सेवाओं में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस पर अप्रत्याशित स्पर्श ईवेंट उत्पन्न करने में सक्षम कर सकता है जो उपयोगकर्ता की स्पष्ट सहमति के बिना अनुमति संवाद स्वीकार करने वाले एप्लिकेशन को जन्म दे सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है जिसके लिए आम तौर पर उपयोगकर्ता पहल या उपयोगकर्ता की अनुमति की आवश्यकता होगी।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3923 ए-30647115 मध्यम सभी नेक्सस 7.0 गूगल आंतरिक

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3924 ए-30204301 मध्यम सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 18 जुलाई 2016

वाई-फाई में सेवा भेद्यता का खंडन

वाई-फ़ाई सेवा में सेवा से इनकार की भेद्यता वाई-फ़ाई कॉलिंग को रोकने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। एप्लिकेशन कार्यक्षमता की सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-3925 ए-30230534 मध्यम सभी नेक्सस 6.0, 6.0.1, 7.0 गूगल आंतरिक

2016-10-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-10-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

कर्नेल ASN.1 डिकोडर में रिमोट कोड निष्पादन भेद्यता

कर्नेल ASN.1 डिकोडर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-0758 ए-29814470
अपस्ट्रीम कर्नेल
गंभीर नेक्सस 5एक्स, नेक्सस 6पी 12 मई 2016

कर्नेल नेटवर्किंग सबसिस्टम में रिमोट कोड निष्पादन भेद्यता

कर्नेल नेटवर्किंग सबसिस्टम में एक रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-7117 ए-30515201
अपस्ट्रीम कर्नेल
गंभीर सभी नेक्सस गूगल आंतरिक

मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3928 ए-30019362*
एम-एएलपीएस02829384
गंभीर कोई नहीं 6 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल साझा मेमोरी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल साझा मेमोरी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-5340 ए-30652312
क्यूसी-सीआर#1008948
गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन 26 जुलाई 2016

क्वालकॉम घटकों में कमजोरियाँ

नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं और क्वालकॉम एएमएसएस मार्च 2016 और क्वालकॉम एएमएसएस अप्रैल 2016 सुरक्षा बुलेटिन में आगे विस्तार से वर्णित किया गया है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3926 ए-28823953* गंभीर नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी क्वालकॉम आंतरिक
सीवीई-2016-3927 ए-28823244* गंभीर नेक्सस 5एक्स, नेक्सस 6पी क्वालकॉम आंतरिक
सीवीई-2016-3929 ए-28823675* उच्च नेक्सस 5एक्स, नेक्सस 6पी क्वालकॉम आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-2059 ए-27045580
क्यूसी-सीआर#974577
उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन फ़रवरी 4, 2016

NVIDIA MMC परीक्षण ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA MMC परीक्षण ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3930 ए-28760138*
एन-सीवीई-2016-3930
उच्च नेक्सस 9 12 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम QSEE कम्युनिकेटर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम क्यूएसईई कम्युनिकेटर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3931 ए-29157595
क्यूसी-सीआर#1036418
उच्च नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन 4 जून 2016

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3932 ए-29161895
एम-एएलपीएस02770870
उच्च कोई नहीं 6 जून 2016
सीवीई-2016-3933 ए-29421408*
एन-सीवीई-2016-3933
उच्च नेक्सस 9, पिक्सेल सी 14 जून 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3903 ए-29513227
क्यूसी-सीआर#1040857
उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन 20 जून 2016
सीवीई-2016-3934 ए-30102557
क्यूसी-सीआर#789704
उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन 12 जुलाई 2016

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-8951 ए-30142668
क्यूसी-सीआर#948902
क्यूसी-सीआर#948902
उच्च नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन 20 जून 2016

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम क्रिप्टोग्राफ़िक इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3901 ए-29999161
क्यूसी-सीआर#1046434
उच्च नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन 6 जुलाई 2016
सीवीई-2016-3935 ए-29999665
क्यूसी-सीआर#1046507
उच्च नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन 6 जुलाई 2016

मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3936 ए-30019037*
एम-एएलपीएस02829568
उच्च कोई नहीं 6 जुलाई 2016
सीवीई-2016-3937 ए-30030994*
एम-एएलपीएस02834874
उच्च कोई नहीं 7 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3938 ए-30019716
क्यूसी-सीआर#1049232
उच्च नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन 7 जुलाई 2016
सीवीई-2016-3939 ए-30874196
क्यूसी-सीआर#1001224
उच्च नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन 15 अगस्त 2016

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3940 ए-30141991* उच्च नेक्सस 6पी, एंड्रॉइड वन 12 जुलाई 2016
सीवीई-2016-6672 ए-30537088* उच्च नेक्सस 5X 31 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6673 ए-30204201*
एन-सीवीई-2016-6673
उच्च नेक्सस 9 17 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

System_server में विशेषाधिकार भेद्यता का बढ़ना

System_server में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6674 ए-30445380* उच्च सभी नेक्सस 26 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3905 ए-28061823
क्यूसी-सीआर#1001449
उच्च नेक्सस 5X गूगल आंतरिक
सीवीई-2016-6675 ए-30873776
क्यूसी-सीआर#1000861
उच्च नेक्सस 5एक्स, एंड्रॉइड वन 15 अगस्त 2016
सीवीई-2016-6676 ए-30874066
क्यूसी-सीआर#1000853
उच्च नेक्सस 5एक्स, एंड्रॉइड वन 15 अगस्त 2016
सीवीई-2016-5342 ए-30878283
क्यूसी-सीआर#1032174
उच्च एंड्रॉयड वन 15 अगस्त 2016

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-8955 ए-29508816
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6P, Pixel C, Android One गूगल आंतरिक

कर्नेल ION सबसिस्टम में सूचना प्रकटीकरण भेद्यता

कर्नेल ION सबसिस्टम में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-8950 ए-29795245
क्यूसी-सीआर#1041735
उच्च नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी 12 मई 2016

NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6677 ए-30259955*
एन-सीवीई-2016-6677
उच्च नेक्सस 9 19 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम कैरेक्टर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम कैरेक्टर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है, और असुरक्षित कोड वर्तमान में पहुंच योग्य नहीं है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2015-0572 ए-29156684
क्यूसी-सीआर#848489
मध्यम नेक्सस 5एक्स, नेक्सस 6पी 28 मई 2016

क्वालकॉम साउंड ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-3860 ए-29323142
क्यूसी-सीआर#1038127
मध्यम नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन 13 जून 2016

मोटोरोला यूएसबीनेट ड्राइवर में सूचना प्रकटीकरण भेद्यता

मोटोरोला यूएसबीनेट ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6678 ए-29914434* मध्यम नेक्सस 6 30 जून 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता

साउंड ड्राइवर, आईपीए ड्राइवर और वाई-फाई ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6679 ए-29915601
क्यूसी-सीआर#1000913 [ 2 ]
मध्यम नेक्सस 5एक्स, एंड्रॉइड वन 30 जून 2016
सीवीई-2016-3902 ए-29953313*
क्यूसी-सीआर#1044072
मध्यम नेक्सस 5एक्स, नेक्सस 6पी, 2 जुलाई 2016
सीवीई-2016-6680 ए-29982678*
क्यूसी-सीआर#1048052
मध्यम नेक्सस 5एक्स, एंड्रॉइड वन 3 जुलाई 2016
सीवीई-2016-6681 ए-30152182
क्यूसी-सीआर#1049521
मध्यम नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन 14 जुलाई 2016
सीवीई-2016-6682 ए-30152501
क्यूसी-सीआर#1049615
मध्यम नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन 14 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता

बाइंडर, सिंक, ब्लूटूथ और साउंड ड्राइवर सहित कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6683 ए-30143283* मध्यम सभी नेक्सस 13 जुलाई 2016
सीवीई-2016-6684 ए-30148243* मध्यम नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, एंड्रॉइड वन 13 जुलाई 2016
सीवीई-2015-8956 ए-30149612* मध्यम नेक्सस 5, नेक्सस 6पी, एंड्रॉइड वन 14 जुलाई 2016
सीवीई-2016-6685 ए-30402628* मध्यम नेक्सस 6पी 25 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA प्रोफाइलर में सूचना प्रकटीकरण भेद्यता

NVIDIA प्रोफाइलर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6686 ए-30163101*
एन-सीवीई-2016-6686
मध्यम नेक्सस 9 15 जुलाई 2016
सीवीई-2016-6687 ए-30162222*
एन-सीवीई-2016-6687
मध्यम नेक्सस 9 15 जुलाई 2016
सीवीई-2016-6688 ए-30593080*
एन-सीवीई-2016-6688
मध्यम नेक्सस 9 2 अगस्त 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल में सूचना प्रकटीकरण भेद्यता

बाइंडर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6689 ए-30768347* मध्यम सभी नेक्सस 9 अगस्त 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता का खंडन

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार एक हमलावर को टीसीपी कनेक्शन तक पहुंच को अवरुद्ध करने में सक्षम कर सकता है और सेवा के अस्थायी दूरस्थ इनकार का कारण बन सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि सेल्युलर सेवाएँ अभी भी उपलब्ध हैं और डिवाइस अभी भी प्रयोग करने योग्य है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-5696 ए-30809774
अपस्ट्रीम कर्नेल
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Android One 12 जुलाई 2016

कर्नेल साउंड ड्राइवर में सेवा भेद्यता का खंडन

कर्नेल में सेवा भेद्यता का खंडन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रीबूट का कारण बनने की अनुमति दे सकता है। इस समस्या को निम्न श्रेणी में रखा गया है क्योंकि यह सेवा का अस्थायी अस्वीकरण है।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6690 ए-28838221* कम नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस प्लेयर 18 मई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम घटकों में कमजोरियाँ

नीचे दी गई तालिका में उन सुरक्षा कमजोरियों की सूची है जो क्वालकॉम घटकों को प्रभावित करती हैं।

सीवीई संदर्भ तीव्रता अद्यतन नेक्सस डिवाइस दिनांक सूचित किया गया
सीवीई-2016-6691 क्यूसी-सीआर#978452 उच्च कोई नहीं जुलाई 2016
सीवीई-2016-6692 क्यूसी-सीआर#1004933 उच्च कोई नहीं अगस्त 2016
सीवीई-2016-6693 क्यूसी-सीआर#1027585 उच्च कोई नहीं अगस्त 2016
सीवीई-2016-6694 क्यूसी-सीआर#1033525 उच्च कोई नहीं अगस्त 2016
सीवीई-2016-6695 क्यूसी-सीआर#1033540 उच्च कोई नहीं अगस्त 2016
सीवीई-2016-6696 क्यूसी-सीआर#1041130 उच्च कोई नहीं अगस्त 2016
सीवीई-2016-5344 क्यूसी-सीआर#993650 मध्यम कोई नहीं अगस्त 2016
सीवीई-2016-5343 क्यूसी-सीआर#1010081 मध्यम कोई नहीं अगस्त 2016

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

2016-10-01 या बाद के सुरक्षा पैच स्तर 2016-10-01 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। 2016-10-05 या बाद के सुरक्षा पैच स्तर 2016-10-05 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जाँच करने के निर्देशों के लिए सहायता केंद्र देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-10-01] या [ro.build.version.security_patch]:[2016-10-05]।

2. इस बुलेटिन में दो सुरक्षा पैच स्तर की स्ट्रिंग क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर स्ट्रिंग का उपयोग करने के लिए प्रोत्साहित किया जाता है।

जो डिवाइस 5 अक्टूबर 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

जो डिवाइस 1 अक्टूबर 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।

3. मैं यह कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से नेक्सस डिवाइस प्रभावित हैं?

2016-10-01 और 2016-10-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड नेक्सस डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइसों की श्रृंखला को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित करती है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "सभी नेक्सस" होंगे। "ऑल नेक्सस" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
  • कुछ नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित नेक्सस डिवाइस अपडेटेड नेक्सस डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई नेक्सस डिवाइस नहीं : यदि एंड्रॉइड 7.0 पर चलने वाला कोई भी नेक्सस डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "कोई नहीं" होगा।

4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

संशोधन

  • 03 अक्टूबर 2016: बुलेटिन प्रकाशित।
  • 04 अक्टूबर 2016: सीवीई-2016-3920, सीवीई-2016-6693, सीवीई-2016-6694, सीवीई-2016-6695, और सीवीई-2016-6696 के लिए एओएसपी लिंक और अपडेट एट्रिब्यूशन को शामिल करने के लिए बुलेटिन को संशोधित किया गया।