03 अक्टूबर 2016 को प्रकाशित | 04 अक्टूबर 2016 को अद्यतन किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 अक्टूबर 2016 या उसके बाद के सुरक्षा पैच स्तर इन मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ देखें। समर्थित नेक्सस डिवाइस को 05 अक्टूबर 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 06 सितंबर 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इनमें से सबसे गंभीर समस्या डिवाइस-विशिष्ट कोड में गंभीर सुरक्षा कमजोरियां हैं जो कर्नेल के संदर्भ में रिमोट कोड निष्पादन को सक्षम कर सकती हैं, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है। . गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाएं
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-10-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-10-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-10-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-10-01 और 2016-10-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित नेक्सस डिवाइस को 05 अक्टूबर 2016 सुरक्षा पैच स्तर के साथ एक एकल ओटीए अपडेट प्राप्त होगा।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- आंद्रे टेक्सेरा रिज़ो: सीवीई-2016-3882
- एंड्रिया बियोंडो: सीवीई-2016-3921
- कॉपरहेड सुरक्षा के डैनियल मिके: सीवीई-2016-3922
- Google के दिमित्री व्युकोव : CVE-2016-7117
- डोसोमडर: सीवीई-2016-3931
- ट्रेंड माइक्रो का एकुलर जू (徐健): CVE-2016-3920
- गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-6690, सीवीई-2016-3901, सीवीई-2016-6672, सीवीई-2016-3940, सीवीई-2016-3935
- हैंग झांग , डोंगडोंग शी , और यूसी रिवरसाइड के ज़ियुन कियान : सीवीई-2015-8950
- अल्फा टीम के हाओ चेन, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-3860
- Google प्रोजेक्ट ज़ीरो के जेन हॉर्न: CVE-2016-3900, CVE-2016-3885
- जेसन रोजेना : सीवीई-2016-3917
- जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, किहू 360 के पीजेएफ : सीवीई-2016-6688, सीवीई-2016-6677, सीवीई-2016-6673, सीवीई-2016-6687, सीवीई-2016-6686, सीवीई-2016-6681 , सीवीई-2016-6682, सीवीई-2016-3930
- जोशुआ ड्रेक ( @jduck ): CVE-2016-3920
- Google सुरक्षा टीम के मैकिएज सज़ाव्लोस्की: CVE-2016-3905
- Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-6689
- माइकल बेडनार्स्की : सीवीई-2016-3914, सीवीई-2016-6674, सीवीई-2016-3911, सीवीई-2016-3912
- मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3933, CVE-2016-3932
- नाइटवॉच साइबर सुरक्षा अनुसंधान ( @nightwatchcyber ): CVE-2016-5348
- रोई हे, आईबीएम सिक्योरिटी एक्स-फोर्स शोधकर्ता: सीवीई-2016-6678
- Google के सैमुअल टैन: CVE-2016-3925
- स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-3936, CVE-2016-3928, CVE-2016-3902, CVE-2016-3937, CVE-2016-6696
- ट्रेंड माइक्रो मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2016-6685, CVE-2016-6683, CVE-2016-6680, CVE-2016-6679, CVE-2016-3903, CVE-2016-6693, सीवीई-2016-6694, सीवीई-2016-6695
- वेन्के डू , मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3909
- अल्फ़ा टीम के वेनलिन यांग और गुआंग गोंग (龚广) ( @oldfresher ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: CVE-2016-3918
- ट्रेंड माइक्रो इंक के विश वू (吴潍浠) ( @wish_wu) : CVE-2016-3924, CVE-2016-3915, CVE-2016-3916, CVE-2016-3910
- ईगलआई टीम के योंग शि, एससीसी, हुआवेई: सीवीई-2016-3938
- झानपेंग झाओ (行之) ( @0xr0ot ) सुरक्षा अनुसंधान प्रयोगशाला, चीता मोबाइल : CVE-2016-3908
2016-10-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-10-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
सर्विसमैनेजर में विशेषाधिकार भेद्यता का बढ़ना
ServiceManager में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमानी सेवाओं को पंजीकृत करने में सक्षम कर सकता है जो आम तौर पर एक विशेषाधिकार प्राप्त प्रक्रिया, जैसे कि system_server द्वारा प्रदान की जाती हैं। सेवा प्रतिरूपण की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3900 | ए-29431260 [ 2 ] | उच्च | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 जून 2016 |
लॉक सेटिंग सेवा में विशेषाधिकार भेद्यता का बढ़ना
लॉक सेटिंग्स सेवा में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन डिवाइस पिन या पासवर्ड को साफ़ करने में सक्षम हो सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3908 | ए-30003944 | उच्च | सभी नेक्सस | 6.0, 6.0.1, 7.0 | 6 जुलाई 2016 |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3909 | ए-30033990 [ 2 ] | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 8 जुलाई 2016 |
| सीवीई-2016-3910 | ए-30148546 | उच्च | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 13 जुलाई 2016 |
| सीवीई-2016-3913 | ए-30204103 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 जुलाई 2016 |
जाइगोट प्रक्रिया में विशेषाधिकार भेद्यता का बढ़ना
ज़ायगोट प्रक्रिया में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3911 | ए-30143607 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 12 जुलाई 2016 |
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3912 | ए-30202481 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 17 जुलाई 2016 |
टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना
टेलीफ़ोनी घटक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3914 | ए-30481342 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 जुलाई 2016 |
कैमरा सेवा में विशेषाधिकार भेद्यता का बढ़ना
कैमरा सेवा में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3915 | ए-30591838 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 1 अगस्त 2016 |
| सीवीई-2016-3916 | ए-30741779 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 2 अगस्त 2016 |
फ़िंगरप्रिंट लॉगिन में विशेषाधिकार भेद्यता का बढ़ना
फ़िंगरप्रिंट लॉगिन के दौरान विशेषाधिकार भेद्यता का बढ़ना एक दुर्भावनापूर्ण डिवाइस स्वामी को डिवाइस पर एक अलग उपयोगकर्ता खाते के रूप में लॉगिन करने में सक्षम कर सकता है। लॉकस्क्रीन बायपास की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3917 | ए-30744668 | उच्च | सभी नेक्सस | 6.0.1, 7.0 | 5 अगस्त 2016 |
AOSP मेल में सूचना प्रकटीकरण भेद्यता
AOSP मेल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3918 | ए-30745403 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 अगस्त 2016 |
वाई-फाई में सेवा भेद्यता का खंडन
वाई-फाई में सेवा भेद्यता का खंडन एक स्थानीय निकटतम हमलावर को हॉटस्पॉट बनाने और डिवाइस को रीबूट करने में सक्षम कर सकता है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3882 | ए-29464811 | उच्च | सभी नेक्सस | 6.0, 6.0.1, 7.0 | 17 जून 2016 |
जीपीएस में सेवा भेद्यता का खंडन
जीपीएस घटक में सेवा से इनकार की भेद्यता एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-5348 | ए-29555864 | उच्च | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 20 जून 2016 |
मीडियासर्वर में सेवा भेद्यता का खंडन
मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3920 | ए-30744884 | उच्च | सभी नेक्सस | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 5 अगस्त 2016 |
फ्रेमवर्क श्रोता में विशेषाधिकार भेद्यता का बढ़ना
फ़्रेमवर्क श्रोता में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3921 | ए-29831647 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 25 जून 2016 |
टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना
टेलीफ़ोनी में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3922 | ए-30202619 | मध्यम | सभी नेक्सस | 6.0, 6.0.1, 7.0 | 17 जुलाई 2016 |
अभिगम्यता सेवाओं में विशेषाधिकार भेद्यता का बढ़ना
एक्सेसिबिलिटी सेवाओं में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस पर अप्रत्याशित स्पर्श ईवेंट उत्पन्न करने में सक्षम कर सकता है जो उपयोगकर्ता की स्पष्ट सहमति के बिना अनुमति संवाद स्वीकार करने वाले एप्लिकेशन को जन्म दे सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है जिसके लिए आम तौर पर उपयोगकर्ता पहल या उपयोगकर्ता की अनुमति की आवश्यकता होगी।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3923 | ए-30647115 | मध्यम | सभी नेक्सस | 7.0 | गूगल आंतरिक |
मीडियासर्वर में सूचना प्रकटीकरण भेद्यता
मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3924 | ए-30204301 | मध्यम | सभी नेक्सस | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 18 जुलाई 2016 |
वाई-फाई में सेवा भेद्यता का खंडन
वाई-फ़ाई सेवा में सेवा से इनकार की भेद्यता वाई-फ़ाई कॉलिंग को रोकने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है। एप्लिकेशन कार्यक्षमता की सेवा से इनकार की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-3925 | ए-30230534 | मध्यम | सभी नेक्सस | 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
2016-10-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-10-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अद्यतन एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
कर्नेल ASN.1 डिकोडर में रिमोट कोड निष्पादन भेद्यता
कर्नेल ASN.1 डिकोडर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-0758 | ए-29814470 अपस्ट्रीम कर्नेल | गंभीर | नेक्सस 5एक्स, नेक्सस 6पी | 12 मई 2016 |
कर्नेल नेटवर्किंग सबसिस्टम में रिमोट कोड निष्पादन भेद्यता
कर्नेल नेटवर्किंग सबसिस्टम में एक रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-7117 | ए-30515201 अपस्ट्रीम कर्नेल | गंभीर | सभी नेक्सस | गूगल आंतरिक |
मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3928 | ए-30019362* एम-एएलपीएस02829384 | गंभीर | कोई नहीं | 6 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल साझा मेमोरी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल साझा मेमोरी ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-5340 | ए-30652312 क्यूसी-सीआर#1008948 | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | 26 जुलाई 2016 |
क्वालकॉम घटकों में कमजोरियाँ
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं और क्वालकॉम एएमएसएस मार्च 2016 और क्वालकॉम एएमएसएस अप्रैल 2016 सुरक्षा बुलेटिन में आगे विस्तार से वर्णित किया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3926 | ए-28823953* | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी | क्वालकॉम आंतरिक |
| सीवीई-2016-3927 | ए-28823244* | गंभीर | नेक्सस 5एक्स, नेक्सस 6पी | क्वालकॉम आंतरिक |
| सीवीई-2016-3929 | ए-28823675* | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | क्वालकॉम आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम नेटवर्किंग घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2059 | ए-27045580 क्यूसी-सीआर#974577 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | फ़रवरी 4, 2016 |
NVIDIA MMC परीक्षण ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA MMC परीक्षण ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3930 | ए-28760138* एन-सीवीई-2016-3930 | उच्च | नेक्सस 9 | 12 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम QSEE कम्युनिकेटर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम क्यूएसईई कम्युनिकेटर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3931 | ए-29157595 क्यूसी-सीआर#1036418 | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | 4 जून 2016 |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3932 | ए-29161895 एम-एएलपीएस02770870 | उच्च | कोई नहीं | 6 जून 2016 |
| सीवीई-2016-3933 | ए-29421408* एन-सीवीई-2016-3933 | उच्च | नेक्सस 9, पिक्सेल सी | 14 जून 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3903 | ए-29513227 क्यूसी-सीआर#1040857 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | 20 जून 2016 |
| सीवीई-2016-3934 | ए-30102557 क्यूसी-सीआर#789704 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | 12 जुलाई 2016 |
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8951 | ए-30142668 क्यूसी-सीआर#948902 क्यूसी-सीआर#948902 | उच्च | नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन | 20 जून 2016 |
क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम क्रिप्टोग्राफ़िक इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3901 | ए-29999161 क्यूसी-सीआर#1046434 | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | 6 जुलाई 2016 |
| सीवीई-2016-3935 | ए-29999665 क्यूसी-सीआर#1046507 | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | 6 जुलाई 2016 |
मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3936 | ए-30019037* एम-एएलपीएस02829568 | उच्च | कोई नहीं | 6 जुलाई 2016 |
| सीवीई-2016-3937 | ए-30030994* एम-एएलपीएस02834874 | उच्च | कोई नहीं | 7 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3938 | ए-30019716 क्यूसी-सीआर#1049232 | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | 7 जुलाई 2016 |
| सीवीई-2016-3939 | ए-30874196 क्यूसी-सीआर#1001224 | उच्च | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | 15 अगस्त 2016 |
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3940 | ए-30141991* | उच्च | नेक्सस 6पी, एंड्रॉइड वन | 12 जुलाई 2016 |
| सीवीई-2016-6672 | ए-30537088* | उच्च | नेक्सस 5X | 31 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6673 | ए-30204201* एन-सीवीई-2016-6673 | उच्च | नेक्सस 9 | 17 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
System_server में विशेषाधिकार भेद्यता का बढ़ना
System_server में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6674 | ए-30445380* | उच्च | सभी नेक्सस | 26 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3905 | ए-28061823 क्यूसी-सीआर#1001449 | उच्च | नेक्सस 5X | गूगल आंतरिक |
| सीवीई-2016-6675 | ए-30873776 क्यूसी-सीआर#1000861 | उच्च | नेक्सस 5एक्स, एंड्रॉइड वन | 15 अगस्त 2016 |
| सीवीई-2016-6676 | ए-30874066 क्यूसी-सीआर#1000853 | उच्च | नेक्सस 5एक्स, एंड्रॉइड वन | 15 अगस्त 2016 |
| सीवीई-2016-5342 | ए-30878283 क्यूसी-सीआर#1032174 | उच्च | एंड्रॉयड वन | 15 अगस्त 2016 |
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8955 | ए-29508816 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6P, Pixel C, Android One | गूगल आंतरिक |
कर्नेल ION सबसिस्टम में सूचना प्रकटीकरण भेद्यता
कर्नेल ION सबसिस्टम में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8950 | ए-29795245 क्यूसी-सीआर#1041735 | उच्च | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी | 12 मई 2016 |
NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6677 | ए-30259955* एन-सीवीई-2016-6677 | उच्च | नेक्सस 9 | 19 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम कैरेक्टर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम कैरेक्टर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है, और असुरक्षित कोड वर्तमान में पहुंच योग्य नहीं है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-0572 | ए-29156684 क्यूसी-सीआर#848489 | मध्यम | नेक्सस 5एक्स, नेक्सस 6पी | 28 मई 2016 |
क्वालकॉम साउंड ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3860 | ए-29323142 क्यूसी-सीआर#1038127 | मध्यम | नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन | 13 जून 2016 |
मोटोरोला यूएसबीनेट ड्राइवर में सूचना प्रकटीकरण भेद्यता
मोटोरोला यूएसबीनेट ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6678 | ए-29914434* | मध्यम | नेक्सस 6 | 30 जून 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता
साउंड ड्राइवर, आईपीए ड्राइवर और वाई-फाई ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6679 | ए-29915601 क्यूसी-सीआर#1000913 [ 2 ] | मध्यम | नेक्सस 5एक्स, एंड्रॉइड वन | 30 जून 2016 |
| सीवीई-2016-3902 | ए-29953313* क्यूसी-सीआर#1044072 | मध्यम | नेक्सस 5एक्स, नेक्सस 6पी, | 2 जुलाई 2016 |
| सीवीई-2016-6680 | ए-29982678* क्यूसी-सीआर#1048052 | मध्यम | नेक्सस 5एक्स, एंड्रॉइड वन | 3 जुलाई 2016 |
| सीवीई-2016-6681 | ए-30152182 क्यूसी-सीआर#1049521 | मध्यम | नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन | 14 जुलाई 2016 |
| सीवीई-2016-6682 | ए-30152501 क्यूसी-सीआर#1049615 | मध्यम | नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन | 14 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता
बाइंडर, सिंक, ब्लूटूथ और साउंड ड्राइवर सहित कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6683 | ए-30143283* | मध्यम | सभी नेक्सस | 13 जुलाई 2016 |
| सीवीई-2016-6684 | ए-30148243* | मध्यम | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, एंड्रॉइड वन | 13 जुलाई 2016 |
| सीवीई-2015-8956 | ए-30149612* | मध्यम | नेक्सस 5, नेक्सस 6पी, एंड्रॉइड वन | 14 जुलाई 2016 |
| सीवीई-2016-6685 | ए-30402628* | मध्यम | नेक्सस 6पी | 25 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA प्रोफाइलर में सूचना प्रकटीकरण भेद्यता
NVIDIA प्रोफाइलर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6686 | ए-30163101* एन-सीवीई-2016-6686 | मध्यम | नेक्सस 9 | 15 जुलाई 2016 |
| सीवीई-2016-6687 | ए-30162222* एन-सीवीई-2016-6687 | मध्यम | नेक्सस 9 | 15 जुलाई 2016 |
| सीवीई-2016-6688 | ए-30593080* एन-सीवीई-2016-6688 | मध्यम | नेक्सस 9 | 2 अगस्त 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल में सूचना प्रकटीकरण भेद्यता
बाइंडर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6689 | ए-30768347* | मध्यम | सभी नेक्सस | 9 अगस्त 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता का खंडन
कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार एक हमलावर को टीसीपी कनेक्शन तक पहुंच को अवरुद्ध करने में सक्षम कर सकता है और सेवा के अस्थायी दूरस्थ इनकार का कारण बन सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि सेल्युलर सेवाएँ अभी भी उपलब्ध हैं और डिवाइस अभी भी प्रयोग करने योग्य है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-5696 | ए-30809774 अपस्ट्रीम कर्नेल | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Android One | 12 जुलाई 2016 |
कर्नेल साउंड ड्राइवर में सेवा भेद्यता का खंडन
कर्नेल में सेवा भेद्यता का खंडन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस रीबूट का कारण बनने की अनुमति दे सकता है। इस समस्या को निम्न श्रेणी में रखा गया है क्योंकि यह सेवा का अस्थायी अस्वीकरण है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6690 | ए-28838221* | कम | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस प्लेयर | 18 मई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम घटकों में कमजोरियाँ
नीचे दी गई तालिका में उन सुरक्षा कमजोरियों की सूची है जो क्वालकॉम घटकों को प्रभावित करती हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन नेक्सस डिवाइस | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6691 | क्यूसी-सीआर#978452 | उच्च | कोई नहीं | जुलाई 2016 |
| सीवीई-2016-6692 | क्यूसी-सीआर#1004933 | उच्च | कोई नहीं | अगस्त 2016 |
| सीवीई-2016-6693 | क्यूसी-सीआर#1027585 | उच्च | कोई नहीं | अगस्त 2016 |
| सीवीई-2016-6694 | क्यूसी-सीआर#1033525 | उच्च | कोई नहीं | अगस्त 2016 |
| सीवीई-2016-6695 | क्यूसी-सीआर#1033540 | उच्च | कोई नहीं | अगस्त 2016 |
| सीवीई-2016-6696 | क्यूसी-सीआर#1041130 | उच्च | कोई नहीं | अगस्त 2016 |
| सीवीई-2016-5344 | क्यूसी-सीआर#993650 | मध्यम | कोई नहीं | अगस्त 2016 |
| सीवीई-2016-5343 | क्यूसी-सीआर#1010081 | मध्यम | कोई नहीं | अगस्त 2016 |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
2016-10-01 या बाद के सुरक्षा पैच स्तर 2016-10-01 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। 2016-10-05 या बाद के सुरक्षा पैच स्तर 2016-10-05 सुरक्षा पैच स्ट्रिंग स्तर से जुड़े सभी मुद्दों का समाधान करते हैं। सुरक्षा पैच स्तर की जाँच करने के निर्देशों के लिए सहायता केंद्र देखें। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-10-01] या [ro.build.version.security_patch]:[2016-10-05]।
2. इस बुलेटिन में दो सुरक्षा पैच स्तर की स्ट्रिंग क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर स्ट्रिंग का उपयोग करने के लिए प्रोत्साहित किया जाता है।
जो डिवाइस 5 अक्टूबर 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
जो डिवाइस 1 अक्टूबर 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
3. मैं यह कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से नेक्सस डिवाइस प्रभावित हैं?
2016-10-01 और 2016-10-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड नेक्सस डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित नेक्सस डिवाइसों की श्रृंखला को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित करती है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "सभी नेक्सस" होंगे। "ऑल नेक्सस" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर और पिक्सेल सी।
- कुछ नेक्सस डिवाइस : यदि कोई समस्या सभी नेक्सस डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित नेक्सस डिवाइस अपडेटेड नेक्सस डिवाइस कॉलम में सूचीबद्ध होते हैं।
- कोई नेक्सस डिवाइस नहीं : यदि एंड्रॉइड 7.0 पर चलने वाला कोई भी नेक्सस डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेटेड नेक्सस डिवाइस कॉलम में "कोई नहीं" होगा।
4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
संशोधन
- 03 अक्टूबर 2016: बुलेटिन प्रकाशित।
- 04 अक्टूबर 2016: सीवीई-2016-3920, सीवीई-2016-6693, सीवीई-2016-6694, सीवीई-2016-6695, और सीवीई-2016-6696 के लिए एओएसपी लिंक और अपडेट एट्रिब्यूशन को शामिल करने के लिए बुलेटिन को संशोधित किया गया।