07 नवंबर 2016 को प्रकाशित | 21 दिसंबर 2016 को अद्यतन किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट भी जारी किया है। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 06 नवंबर 2016 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 20 अक्टूबर 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाएं
- पिक्सेल और पिक्सेल एक्सएल उपकरणों की शुरूआत के साथ, Google द्वारा समर्थित सभी उपकरणों के लिए शब्द "नेक्सस डिवाइस" के बजाय "Google डिवाइस" हो गया है।
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की सुविधा प्रदान करने के लिए तीन सुरक्षा पैच स्तर हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-11-01 : आंशिक सुरक्षा पैच स्तर। यह सुरक्षा पैच स्तर इंगित करता है कि 2016-11-01 (और सभी पिछले सुरक्षा पैच स्तर) से जुड़े सभी मुद्दों का समाधान कर दिया गया है।
- 2016-11-05 : पूर्ण सुरक्षा पैच स्तर। यह सुरक्षा पैच स्तर इंगित करता है कि 2016-11-01 और 2016-11-05 (और सभी पिछले सुरक्षा पैच स्तर) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- पूरक सुरक्षा पैच स्तर
पूरक सुरक्षा पैच स्तर उन उपकरणों की पहचान करने के लिए प्रदान किए जाते हैं जिनमें पैच स्तर परिभाषित होने के बाद सार्वजनिक रूप से प्रकट किए गए मुद्दों के समाधान शामिल होते हैं। हाल ही में प्रकट की गई इन कमजोरियों को 2016-12-01 सुरक्षा पैच स्तर तक संबोधित करने की आवश्यकता नहीं है।
- 2016-11-06 : यह सुरक्षा पैच स्तर इंगित करता है कि डिवाइस ने 2016-11-05 और सीवीई-2016-5195 से जुड़े सभी मुद्दों को संबोधित कर लिया है, जिसका सार्वजनिक रूप से 19 अक्टूबर 2016 को खुलासा किया गया था।
- समर्थित Google उपकरणों को 05 नवंबर, 2016 सुरक्षा पैच स्तर के साथ एक एकल OTA अपडेट प्राप्त होगा।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-6722
- Google के आंद्रेई कपिशनिकोव और मिरियम गेर्शेनसन: CVE-2016-6703
- एओ वांग ( @ArayzSegment ) और PKAV के ज़िनुओ हान , साइलेंस सूचना प्रौद्योगिकी: CVE-2016-6700, CVE-2016-6702
- सुरक्षा प्लेटफ़ॉर्म विभाग, टेनसेंट के आस्किशांग: CVE-2016-6713
- Android सुरक्षा के बिली लाउ: CVE-2016-6737
- पीरियस विश्वविद्यालय के कॉन्स्टेंटिनो पात्साकिस और एफथिमियोस एलेपिस : सीवीई-2016-6715
- अलीबाबा मोबाइल सुरक्षा टीम का ड्रैगनएलटीएक्स: सीवीई-2016-6714
- प्रोजेक्ट ज़ीरो की गैल बेनियामिनी: CVE-2016-6707, CVE-2016-6717
- गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वोर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-6725, सीवीई-2016-6738, सीवीई-2016-6740, सीवीई-2016-6741, सीवीई-2016-6742, सीवीई-2016-6744, सीवीई-2016-6745, सीवीई-2016-3906
- अल्फा टीम के गुआंग गोंग (龚广) ( @oldfresher ), Qihoo 360 टेक्नोलॉजी कंपनी लिमिटेड : CVE-2016-6754
- जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-6739, सीवीई-2016-3904, सीवीई-2016-3907, सीवीई-2016-6698
- टेनसेंट की कीन लैब के मार्को ग्रासी ( @marcograss ) ( @keen_lab ): CVE-2016-6828
- प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-6706
- Google के मार्क रेनॉफ़: CVE-2016-6724
- माइकल बेडनार्स्की ( github.com/michalbednarski ): CVE-2016-6710
- Android सुरक्षा का मिन चोंग: CVE-2016-6743
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-6721
- किदान हे (何淇丹) ( @flanker_hqd ) और गेंगमिंग लियू (刘耕铭) ( @dmxcsnsbh ) कीनलैब, टेनसेंट: CVE-2016-6705
- Google के रॉबिन ली: CVE-2016-6708
- स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-6751
- कास्परस्की लैब के सर्गेई बोब्रोव ( @ब्लैक2फैन ): सीवीई-2016-6716
- ट्रेंड माइक्रो मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
- विक्टर वैन डेर वीन, हर्बर्ट बोस, कावे रज़ावी, और व्रीजे यूनिवर्सिटिट एम्स्टर्डम के क्रिस्टियानो गिउफ्रिडा और कैलिफोर्निया विश्वविद्यालय, सांता बारबरा के यानिक फ्रैटान्टोनियो, मार्टिना लिंडोर्फर और जियोवानी विग्ना: सीवीई-2016-6728
- अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
- वेन्के डू ( vancouverdou@gmail.com ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6720
- ट्रेंड माइक्रो इंक. के विश वू (吴潍浠) ( @wish_wu ): CVE-2016-6704
- नाइटवॉच साइबर सुरक्षा के याकोव शफ्रानोविच: सीवीई-2016-6723
- युआन-त्सुंग लो , याओ जून , टोंग लिन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
- युआन-त्सुंग लो , याओ जून , ज़ियाओडोंग वांग, चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746
इस बुलेटिन में कई मुद्दों पर उनके योगदान के लिए एंड्रॉइड सिक्योरिटी के जैच रिगल को अतिरिक्त धन्यवाद।
2016-11-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-11-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता
मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6699 | ए-31373622 | गंभीर | सभी | 7.0 | 27 जुलाई 2016 |
libzipfile में विशेषाधिकार भेद्यता का बढ़ना
Libzipfile में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6700 | ए-30916186 | गंभीर | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1 | 17 अगस्त 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
स्कीया में रिमोट कोड निष्पादन भेद्यता
लिबस्किया में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। गैलरी प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6701 | ए-30190637 | उच्च | सभी | 7.0 | गूगल आंतरिक |
libjpeg में रिमोट कोड निष्पादन भेद्यता
लिबजेपीईजी में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। libjpeg का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च रेटिंग दी गई है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6702 | ए-30259087 | उच्च | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1 | 19 जुलाई 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
एंड्रॉइड रनटाइम में रिमोट कोड निष्पादन भेद्यता
एंड्रॉइड रनटाइम लाइब्रेरी में रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए विशेष रूप से तैयार किए गए पेलोड का उपयोग करने में सक्षम कर सकती है। एंड्रॉइड रनटाइम का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6703 | ए-30765246 | उच्च | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6704 | ए-30229821 [ 2 ] [ 3 ] | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 जुलाई 2016 |
| सीवीई-2016-6705 | ए-30907212 [ 2 ] | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 अगस्त 2016 |
| सीवीई-2016-6706 | ए-31385713 | उच्च | सभी | 7.0 | सितम्बर 8, 2016 |
सिस्टम सर्वर में विशेषाधिकार भेद्यता का बढ़ना
सिस्टम सर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6707 | ए-31350622 | उच्च | सभी | 6.0, 6.0.1, 7.0 | सितम्बर 7, 2016 |
सिस्टम यूआई में विशेषाधिकार भेद्यता का बढ़ना
सिस्टम यूआई में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को मल्टी-विंडो मोड में कार्य प्रोफ़ाइल के सुरक्षा संकेत को बायपास करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6708 | ए-30693465 | उच्च | सभी | 7.0 | गूगल आंतरिक |
कॉन्स्क्रिप्ट में सूचना प्रकटीकरण भेद्यता
यदि किसी एप्लिकेशन द्वारा लीगेसी एन्क्रिप्शन एपीआई का उपयोग किया जाता है, तो कॉन्स्क्रिप्ट में एक सूचना प्रकटीकरण भेद्यता एक हमलावर को संवेदनशील जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6709 | ए-31081987 | उच्च | सभी | 6.0, 6.0.1, 7.0 | 9 अक्टूबर 2015 |
डाउनलोड प्रबंधक में सूचना प्रकटीकरण भेद्यता
डाउनलोड प्रबंधक में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जिस तक एप्लिकेशन की पहुंच नहीं है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6710 | ए-30537115 [ 2 ] | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 जुलाई 2016 |
ब्लूटूथ में सेवा भेद्यता का खंडन
ब्लूटूथ में सेवा से इनकार की भेद्यता किसी करीबी हमलावर को किसी प्रभावित डिवाइस तक ब्लूटूथ पहुंच को अवरुद्ध करने में सक्षम कर सकती है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2014-9908 | ए-28672558 | उच्च | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1 | 5 मई 2014 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
OpenJDK में सेवा भेद्यता का खंडन
OpenJDK में सेवा भेद्यता का एक दूरस्थ खंडन किसी हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2015-0410 | ए-30703445 | उच्च | सभी | 7.0 | 16 जनवरी 2015 |
मीडियासर्वर में सेवा भेद्यता का खंडन
मीडियासर्वर में सेवा भेद्यता का एक दूरस्थ खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6711 | ए-30593765 | उच्च | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 अगस्त 2016 |
| सीवीई-2016-6712 | ए-30593752 | उच्च | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 अगस्त 2016 |
| सीवीई-2016-6713 | ए-30822755 | उच्च | सभी | 6.0, 6.0.1, 7.0 | 11 अगस्त 2016 |
| सीवीई-2016-6714 | ए-31092462 | उच्च | सभी | 6.0, 6.0.1, 7.0 | 22 अगस्त 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना
फ़्रेमवर्क एपीआई में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की अनुमति के बिना ऑडियो रिकॉर्ड करने की अनुमति मिल सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है)।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6715 | ए-29833954 | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 जून 2016 |
AOSP लॉन्चर में विशेषाधिकार भेद्यता का बढ़ना
AOSP लॉन्चर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऐसे शॉर्टकट बनाने की अनुमति दे सकता है जिनके पास उपयोगकर्ता की सहमति के बिना उन्नत विशेषाधिकार हैं। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है)।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6716 | ए-30778130 | मध्यम | सभी | 7.0 | 5 अगस्त 2016 |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक अलग भेद्यता के दोहन की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6717 | ए-31350239 | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 7, 2016 |
खाता प्रबंधक सेवा में विशेषाधिकार भेद्यता का बढ़ना
खाता प्रबंधक सेवा में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन उपयोगकर्ता के संपर्क के बिना संवेदनशील जानकारी पुनर्प्राप्त करने में सक्षम हो सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आम तौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है।)
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6718 | ए-30455516 | मध्यम | सभी | 7.0 | गूगल आंतरिक |
ब्लूटूथ में विशेषाधिकार भेद्यता का बढ़ना
ब्लूटूथ घटक में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन उपयोगकर्ता की सहमति के बिना किसी भी ब्लूटूथ डिवाइस के साथ जुड़ने में सक्षम हो सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है (कार्यक्षमता तक पहुंच जिसके लिए आमतौर पर उपयोगकर्ता आरंभ या उपयोगकर्ता की अनुमति की आवश्यकता होती है)।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6719 | ए-29043989 [ 2 ] | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
मीडियासर्वर में सूचना प्रकटीकरण भेद्यता
मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6720 | ए-29422020 [ 2 ] [ 3 ] [ 4 ] | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 जून 2016 |
| सीवीई-2016-6721 | ए-30875060 | मध्यम | सभी | 6.0, 6.0.1, 7.0 | 13 अगस्त 2016 |
| सीवीई-2016-6722 | ए-31091777 | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 अगस्त 2016 |
प्रॉक्सी ऑटो कॉन्फ़िगरेशन में सेवा भेद्यता का खंडन
प्रॉक्सी ऑटो कॉन्फिग में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसके लिए एक असामान्य डिवाइस कॉन्फ़िगरेशन की आवश्यकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6723 | ए-30100884 [ 2 ] | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 11 जुलाई 2016 |
इनपुट प्रबंधक सेवा में सेवा भेद्यता का खंडन
इनपुट प्रबंधक सेवा में सेवा भेद्यता का खंडन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को लगातार रीबूट करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह सेवा का एक अस्थायी अस्वीकरण है जिसे ठीक करने के लिए फ़ैक्टरी रीसेट की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6724 | ए-30568284 | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | गूगल आंतरिक |
2016-11-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-11-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
क्वालकॉम क्रिप्टो ड्राइवर में रिमोट कोड निष्पादन भेद्यता
क्वालकॉम क्रिप्टो ड्राइवर में एक रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6725 | ए-30515053 क्यूसी-सीआर#1050970 | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 जुलाई 2016 |
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8961 | ए-30952474 अपस्ट्रीम कर्नेल | गंभीर | पिक्सेल, पिक्सेल एक्सएल | 18 अक्टूबर 2015 |
| सीवीई-2016-7911 | ए-30946378 अपस्ट्रीम कर्नेल | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 01 जुलाई 2016 |
| सीवीई-2016-7910 | ए-30942273 अपस्ट्रीम कर्नेल | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 29 जुलाई 2016 |
कर्नेल एससीएसआई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल SCSI ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8962 | ए-30951599 अपस्ट्रीम कर्नेल | गंभीर | पिक्सेल, पिक्सेल एक्सएल | 30 अक्टूबर 2015 |
कर्नेल मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल मीडिया ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-7913 | ए-30946097 अपस्ट्रीम कर्नेल | गंभीर | Nexus 6P, Android One, Nexus प्लेयर, Pixel, Pixel XL | 28 जनवरी 2016 |
कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल USB ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-7912 | ए-30950866 अपस्ट्रीम कर्नेल | गंभीर | पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल | 14 अप्रैल 2016 |
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6728 | ए-30400942* | गंभीर | नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, नेक्सस प्लेयर, पिक्सेल सी, एंड्रॉइड वन | 25 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम बूटलोडर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6729 | ए-30977990* क्यूसी-सीआर#977684 | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6730 | ए-30904789* एन-सीवीई-2016-6730 | गंभीर | पिक्सेल सी | 16 अगस्त 2016 |
| सीवीई-2016-6731 | ए-30906023* एन-सीवीई-2016-6731 | गंभीर | पिक्सेल सी | 16 अगस्त 2016 |
| सीवीई-2016-6732 | ए-30906599* एन-सीवीई-2016-6732 | गंभीर | पिक्सेल सी | 16 अगस्त 2016 |
| सीवीई-2016-6733 | ए-30906694* एन-सीवीई-2016-6733 | गंभीर | पिक्सेल सी | 16 अगस्त 2016 |
| सीवीई-2016-6734 | ए-30907120* एन-सीवीई-2016-6734 | गंभीर | पिक्सेल सी | 16 अगस्त 2016 |
| सीवीई-2016-6735 | ए-30907701* एन-सीवीई-2016-6735 | गंभीर | पिक्सेल सी | 16 अगस्त 2016 |
| सीवीई-2016-6736 | ए-30953284* एन-सीवीई-2016-6736 | गंभीर | पिक्सेल सी | 18 अगस्त 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6828 | ए-31183296 अपस्ट्रीम कर्नेल | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 18 अगस्त 2016 |
कर्नेल ध्वनि उपप्रणाली में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल ध्वनि सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-2184 | ए-30952477 अपस्ट्रीम कर्नेल | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | मार्च 31, 2016 |
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6737 | ए-30928456* | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम घटकों में कमजोरियाँ
नीचे दी गई तालिका में क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां शामिल हैं और क्वालकॉम एएमएसएस जून 2016 सुरक्षा बुलेटिन और सुरक्षा अलर्ट 80-एनवी606-17 में आगे विस्तार से वर्णित किया गया है।
| सीवीई | संदर्भ | तीव्रता* | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6727 | ए-31092400** | गंभीर | एंड्रॉयड वन | क्वालकॉम आंतरिक |
| सीवीई-2016-6726 | ए-30775830** | उच्च | नेक्सस 6, एंड्रॉइड वन | क्वालकॉम आंतरिक |
* इन कमजोरियों की गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।
** इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
एक्सपैट में रिमोट कोड निष्पादन भेद्यता
नीचे दी गई तालिका में एक्सपैट लाइब्रेरी को प्रभावित करने वाली सुरक्षा कमजोरियाँ शामिल हैं। इनमें से सबसे गंभीर समस्या एक्सपैट एक्सएमएल पार्सर में विशेषाधिकार भेद्यता का बढ़ना है, जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक हमलावर को एक विशेषाधिकार रहित प्रक्रिया में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। एक्सपैट का उपयोग करने वाले एप्लिकेशन में मनमाने ढंग से कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-0718 | ए-28698301 | उच्च | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 मई 2016 |
| सीवीई-2012-6702 | ए-29149404 | मध्यम | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | मार्च 06, 2016 |
| सीवीई-2016-5300 | ए-29149404 | मध्यम | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | जून 04, 2016 |
| सीवीई-2015-1283 | ए-27818751 | कम | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 जुलाई 2015 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
वेबव्यू में रिमोट कोड निष्पादन भेद्यता
जब उपयोगकर्ता किसी वेबसाइट पर नेविगेट कर रहा हो तो वेबव्यू में रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को मनमाना कोड निष्पादित करने में सक्षम कर सकती है। एक विशेषाधिकार रहित प्रक्रिया में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6754 | ए-31217937 | उच्च | कोई नहीं* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 अगस्त 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
फ्रीटाइप में रिमोट कोड निष्पादन भेद्यता
फ़्रीटाइप में एक रिमोट कोड निष्पादन भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेष रूप से तैयार किए गए फ़ॉन्ट को लोड करने में सक्षम कर सकती है, जिससे एक अप्रकाशित प्रक्रिया में मेमोरी भ्रष्टाचार हो सकता है। फ्रीटाइप का उपयोग करने वाले अनुप्रयोगों में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2014-9675 | ए-24296662 [ 2 ] | उच्च | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | गूगल आंतरिक |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8963 | ए-30952077 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 15 दिसंबर 2015 |
कर्नेल सिस्टम-कॉल ऑडिटिंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल सिस्टम-कॉल ऑडिटिंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में सिस्टम-कॉल ऑडिटिंग को बाधित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि यह गहराई या शोषण शमन प्रौद्योगिकी में कर्नेल-स्तरीय रक्षा के लिए एक सामान्य बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6136 | ए-30956807 अपस्ट्रीम कर्नेल | उच्च | एंड्रॉइड वन, पिक्सेल सी, नेक्सस प्लेयर | 1 जुलाई 2016 |
क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6738 | ए-30034511 क्यूसी-सीआर#1050538 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 जुलाई 2016 |
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6739 | ए-30074605* क्यूसी-सीआर#1049826 | उच्च | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 11 जुलाई 2016 |
| सीवीई-2016-6740 | ए-30143904 क्यूसी-सीआर#1056307 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 जुलाई 2016 |
| सीवीई-2016-6741 | ए-30559423 क्यूसी-सीआर#1060554 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम बस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम बस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-3904 | ए-30311977 क्यूसी-सीआर#1050455 | उच्च | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 जुलाई 2016 |
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6742 | ए-30799828* | उच्च | नेक्सस 5एक्स, एंड्रॉइड वन | 9 अगस्त 2016 |
| सीवीई-2016-6744 | ए-30970485* | उच्च | नेक्सस 5X | 19 अगस्त 2016 |
| सीवीई-2016-6745 | ए-31252388* | उच्च | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 1 सितंबर 2016 |
| सीवीई-2016-6743 | ए-30937462* | उच्च | नेक्सस 9, एंड्रॉइड वन | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता
मानव इंटरफ़ेस डिवाइस ड्राइवर, फ़ाइल सिस्टम और टेलेटाइप ड्राइवर सहित कर्नेल घटकों में एक सूचना प्रकटीकरण भेद्यता, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8964 | ए-30951112 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 27 नवंबर 2015 |
| सीवीई-2016-7915 | ए-30951261 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 19 जनवरी 2016 |
| सीवीई-2016-7914 | ए-30513364 अपस्ट्रीम कर्नेल | उच्च | पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल | अप्रैल 06, 2016 |
| सीवीई-2016-7916 | ए-30951939 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 05 मई 2016 |
NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6746 | ए-30955105* एन-सीवीई-2016-6746 | उच्च | पिक्सेल सी | 18 अगस्त 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
मीडियासर्वर में सेवा भेद्यता का खंडन
मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6747 | ए-31244612* एन-सीवीई-2016-6747 | उच्च | नेक्सस 9 | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता
प्रोसेस-ग्रुपिंग सबसिस्टम और नेटवर्किंग सबसिस्टम सहित कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-7917 | ए-30947055 अपस्ट्रीम कर्नेल | मध्यम | पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल | फ़रवरी 02, 2016 |
| सीवीई-2016-6753 | ए-30149174* | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 13 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता
GPU ड्राइवर, पावर ड्राइवर, SMSM पॉइंट-टू-पॉइंट ड्राइवर और साउंड ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता, एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6748 | ए-30076504 क्यूसी-सीआर#987018 | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 जुलाई 2016 |
| सीवीई-2016-6749 | ए-30228438 क्यूसी-सीआर#1052818 | मध्यम | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 जुलाई 2016 |
| सीवीई-2016-6750 | ए-30312054 क्यूसी-सीआर#1052825 | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 जुलाई 2016 |
| सीवीई-2016-3906 | ए-30445973 क्यूसी-सीआर#1054344 | मध्यम | नेक्सस 5एक्स, नेक्सस 6पी | 27 जुलाई 2016 |
| सीवीई-2016-3907 | ए-30593266 क्यूसी-सीआर#1054352 | मध्यम | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2 अगस्त 2016 |
| सीवीई-2016-6698 | ए-30741851 क्यूसी-सीआर#1058826 | मध्यम | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 2 अगस्त 2016 |
| सीवीई-2016-6751 | ए-30902162* क्यूसी-सीआर#1062271 | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 15 अगस्त 2016 |
| सीवीई-2016-6752 | ए-31498159 क्यूसी-सीआर#987051 | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
2016-11-06 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-11-06 सुरक्षा पैच स्तर-ऊपर भेद्यता सारांश में सूचीबद्ध प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
नोट: 2016-11-06 का सुरक्षा पैच स्तर इंगित करता है कि इस समस्या के साथ-साथ 2016-11-01 और 2016-11-05 से जुड़े सभी मुद्दों का समाधान कर दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन कर्नेल संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-5195 | ए-32141528 अपस्ट्रीम कर्नेल [ 2 ] | गंभीर | 3.10, 3.18 | 12 अक्टूबर 2016 |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।
- 2016-11-01 या उसके बाद के सुरक्षा पैच स्तर 2016-11-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
- 2016-11-05 या उसके बाद के सुरक्षा पैच स्तर 2016-11-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों का समाधान करते हैं।
- 2016-11-06 या बाद के सुरक्षा पैच स्तर 2016-11-06 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों का समाधान करते हैं।
जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच लेवल स्ट्रिंग को यहां सेट करना चाहिए:
- [ro.build.version.security_patch]:[2016-11-01]
- [ro.build.version.security_patch]:[2016-11-05]
- [ro.build.version.security_patch]:[2016-11-06]।
2. इस बुलेटिन में तीन सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में तीन सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- जो डिवाइस 1 नवंबर 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
- जो डिवाइस 5 नवंबर 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
- जो डिवाइस 6 नवंबर 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।
3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?
2016-11-01 , 2016-11-05 , और 2016-11-06 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड Google डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी Google डिवाइस : यदि कोई समस्या सभी Nexus और Pixel डिवाइसों को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "ऑल" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर, पिक्सेल सी, पिक्सेल और पिक्सेल एक्सएल।
- कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
- कोई Google डिवाइस नहीं : यदि Android 7.0 पर चलने वाला कोई भी Google डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" होगा।
4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
संशोधन
- 07 नवंबर 2016: बुलेटिन प्रकाशित.
- नवंबर 08: सीवीई-2016-6709 के लिए एओएसपी लिंक और अद्यतन विवरण शामिल करने के लिए बुलेटिन को संशोधित किया गया।
- 17 नवंबर: सीवीई-2016-6828 के लिए एट्रिब्यूशन को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
- 21 दिसंबर: अद्यतन शोधकर्ता क्रेडिट।