पब्लिश किया गया: 07 नवंबर, 2016 | अपडेट किया गया: 21 दिसंबर, 2016
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. इस सूचना के साथ ही, हमने Google डिवाइसों के लिए, ओवर-द-एयर (ओटीए) अपडेट के ज़रिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Google डिवाइस के फ़र्मवेयर की इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. 06 नवंबर, 2016 या उसके बाद के सुरक्षा पैच लेवल से, इन सभी समस्याओं को ठीक किया जा सकता है. किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.
पार्टनर को इस बुलेटिन में बताई गई समस्याओं के बारे में 20 अक्टूबर, 2016 या उससे पहले सूचना दी गई थी. जहां लागू हो, वहां इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ कर दिए गए हैं. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और सेवाओं की सुरक्षा से जुड़ी सुविधाओं के बारे में जानने के लिए, Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. इन सुविधाओं में, SafetyNet जैसी सुविधाएं शामिल हैं. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
सूचनाएं
- Pixel और Pixel XL डिवाइसों के लॉन्च के बाद, Google के साथ काम करने वाले सभी डिवाइसों के लिए, "Nexus डिवाइसों" के बजाय "Google डिवाइस" शब्द का इस्तेमाल किया जाता है.
- इस बुलेटिन में तीन सिक्योरिटी पैच लेवल हैं. इससे Android पार्टनर को, सभी Android डिवाइसों पर मौजूद कमजोरियों के सबसेट को तेज़ी से ठीक करने में मदद मिलती है. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और उनके जवाब देखें:
- 01-11-2016: सुरक्षा पैच का कुछ लेवल. सुरक्षा के इस पैच लेवल से पता चलता है कि 01-11-2016 (और सुरक्षा के सभी पिछले पैच लेवल) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-11-2016: सुरक्षा पैच का लेवल पूरा हो गया. सुरक्षा से जुड़े इस पैच लेवल से पता चलता है कि 01-11-2016 और 05-11-2016 (और सुरक्षा से जुड़े सभी पिछले पैच लेवल) से जुड़ी सभी समस्याएं हल हो गई हैं.
- सुरक्षा पैच के अन्य लेवल
अतिरिक्त सिक्योरिटी पैच लेवल, उन डिवाइसों की पहचान करने के लिए उपलब्ध कराए जाते हैं जिनमें उन समस्याओं को ठीक करने के लिए अपडेट मौजूद होते हैं जिन्हें पैच लेवल तय करने के बाद सार्वजनिक तौर पर ज़ाहिर किया गया था. हाल ही में ज़ाहिर किए गए इन जोखिमों को ठीक करने के लिए, 01-12-2016 तक के सिक्योरिटी पैच लेवल की ज़रूरत नहीं है.
- 06-11-2016: सुरक्षा पैच के इस लेवल से पता चलता है कि डिवाइस में 05-11-2016 और CVE-2016-5195 से जुड़ी सभी समस्याएं ठीक कर दी गई हैं. इन समस्याओं के बारे में सार्वजनिक तौर पर 19 अक्टूबर, 2016 को बताया गया था.
- जिन Google डिवाइसों पर यह सुविधा काम करती है उन्हें 05 नवंबर, 2016 के सुरक्षा पैच लेवल के साथ एक ओटीए अपडेट मिलेगा.
Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उन उपायों के बारे में बताया गया है जिनकी मदद से, इस तरह के खतरों को कम किया जा सकता है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. इन सुविधाओं को, उपयोगकर्ताओं को नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है. Google Mobile Services वाले डिवाइसों पर, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं. Google Play पर, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले टूल उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने की सुविधा, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर, उपयोगकर्ताओं को चेतावनी देती है. भले ही, वह ऐप्लिकेशन किसी भी सोर्स से डाउनलोड किया गया हो. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा के जोखिम का फ़ायदा उठाते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, Mediaserver जैसी प्रोसेस को मीडिया को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Google Chrome की सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग, और मार्टिन बारबेला: CVE-2016-6722
- Google के आंद्रेई कपिशनिकोव और मिरियम गेर्शेंसन: CVE-2016-6703
- PKAV के Silence Information Technology के @ArayzSegment और Zinuo Han: CVE-2016-6700, CVE-2016-6702
- Tencent के सिक्योरिटी प्लैटफ़ॉर्म डिपार्टमेंट के Askyshang: CVE-2016-6713
- Android Security के बिली लाऊ: CVE-2016-6737
- यूनिवर्सिटी ऑफ़ पायरियस के कॉन्स्टेंटिनोस पात्साकिस् और एफ़िथिमियोस एलेपिस: CVE-2016-6715
- Alibaba की मोबाइल सिक्योरिटी टीम के dragonltx: CVE-2016-6714
- प्रोजेक्ट ज़ीरो के गैल बेनियामिनी: CVE-2016-6707, CVE-2016-6717
- Qihoo 360 Technology Co. Ltd के IceSword Lab के Gengjia Chen (@chengjia4574) और pjf: CVE-2016-6725, CVE-2016-6738, CVE-2016-6740, CVE-2016-6741, CVE-2016-6742, CVE-2016-6744, CVE-2016-6745, CVE-2016-3906
- Qihoo 360 Technology Co. Ltd की Alpha टीम के, ग्वेंग गोंग (龚广) (@oldfresher): CVE-2016-6754
- Qihoo 360 Technology Co. Ltd की IceSword Lab के @jianqiangzhao और pjf: CVE-2016-6739, CVE-2016-3904, CVE-2016-3907, CVE-2016-6698
- Tencent के Keen Lab (@keen_lab) के मार्को ग्रास्सी (@marcograss): CVE-2016-6828
- Project Zero का मार्क ब्रैंड: CVE-2016-6706
- Google के मार्क रेनॉफ़: CVE-2016-6724
- Michał Bednarski (github.com/michalbednarski): CVE-2016-6710
- Android Security की टीम की सदस्य, मिन चोंग: CVE-2016-6743
- Trend Micro के पीटर पाई (@heisecode): CVE-2016-6721
- Tencent के KeenLab के Qidan He (何淇丹) (@flanker_hqd) और Gengming Liu (刘耕铭) (@dmxcsnsbh): CVE-2016-6705
- Google के रॉबिन ली: CVE-2016-6708
- स्कॉट बाउर (@ScottyBauer1): CVE-2016-6751
- Kaspersky Lab के सर्गेई बोब्रोव (@Black2Fan): CVE-2016-6716
- Trend Micro की मोबाइल खतरे से जुड़ी रिसर्च टीम के Seven Shen (@lingtongshen): CVE-2016-6748, CVE-2016-6749, CVE-2016-6750, CVE-2016-6753
- व्रीजे यूनिवर्सिटी अम्स्टर्डम के विक्टर वैन डेर वीन, हर्बर्ट बोस, कावेह रज़ावी, और क्रिस्टियानो गिउफ़्रिडा और यूनिवर्सिटी ऑफ़ कैलिफ़ोर्निया, सैंटा बारबरा के यानिक फ़्रैटांटोनी, मार्टिना लिंडोफ़र, और जियोवन्नी विग्ना: CVE-2016-6728
- Alibaba Inc के वीचाउ सन (@sunblate): CVE-2016-6712, CVE-2016-6699, CVE-2016-6711
- C0RE टीम के वेन्के डू (vancouverdou@gmail.com), चिआचीह वू (@chiachih_wu), और शुशियन जियांग के लिए: CVE-2016-6720
- Trend Micro Inc. की Wish Wu (吴潍浠) (@wish_wu): CVE-2016-6704
- Nightwatch Cybersecurity के याकोव शाफ़्रानोविच: CVE-2016-6723
- Yuan-Tsung Lo, Yao Jun, Tong Lin, Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2016-6730, CVE-2016-6732, CVE-2016-6734, CVE-2016-6736
- Yuan-Tsung Lo, Yao Jun, Xiaodong Wang, Chiachih Wu (@chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2016-6731, CVE-2016-6733, CVE-2016-6735, CVE-2016-6746
इस बुलेटिन में बताई गई कई समस्याओं को हल करने में मदद करने के लिए, Android Security के Zach Riggle का भी धन्यवाद.
01-11-2016 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-11-2016 के पैच लेवल पर लागू होती है. इसमें समस्या की जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
Mediaserver में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
Mediaserver में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. Mediaserver प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6699 | A-31373622 | सबसे अहम | सभी | 7.0 | 27 जुलाई, 2016 |
libzipfile में प्रिविलेज एस्कलेशन की समस्या
libzipfile में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6700 | A-30916186 | सबसे अहम | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1 | 17 अगस्त, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
Skia में रिमोट कोड लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
libskia में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. गैलरी प्रोसेस के दौरान, रिमोट कोड को चलाने की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6701 | A-30190637 | ज़्यादा | सभी | 7.0 | सिर्फ़ Google के लिए |
libjpeg में रिमोट कोड लागू करने की सुविधा से जुड़ी जोखिम की आशंका
libjpeg में रिमोट कोड प्रोग्राम चलाए जाने की जोखिम की वजह से, हमलावर किसी खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. libjpeg का इस्तेमाल करने वाले ऐप्लिकेशन में, रिमोट कोड लागू होने की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6702 | A-30259087 | ज़्यादा | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1 | 19 जुलाई, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
Android runtime में रिमोट कोड चलाने से जुड़ी सुरक्षा से जुड़ी समस्या
Android रनटाइम लाइब्रेरी में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी जोखिम की वजह से, कोई हमलावर खास तौर पर बनाए गए पेलोड का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चला सकता है. Android रनटाइम का इस्तेमाल करने वाले ऐप्लिकेशन में, रिमोट कोड लागू होने की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6703 | A-30765246 | ज़्यादा | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
Mediaserver में प्रिविलेज एस्केलेशन की समस्या
Mediaserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6704 | A-30229821 [2] [3] | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 जुलाई, 2016 |
| CVE-2016-6705 | A-30907212 [2] | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 अगस्त, 2016 |
| CVE-2016-6706 | A-31385713 | ज़्यादा | सभी | 7.0 | 8 सितंबर, 2016 |
सिस्टम सर्वर में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की आशंका
सिस्टम सर्वर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को ऐक्सेस लेवल वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6707 | A-31350622 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0 | 7 सितंबर, 2016 |
सिस्टम यूज़र इंटरफ़ेस (यूआई) में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
सिस्टम यूज़र इंटरफ़ेस में ऐक्सेस लेवल बढ़ाने से, नुकसान पहुंचाने वाले स्थानीय उपयोगकर्ता को मल्टी-विंडो मोड में वर्क प्रोफ़ाइल के लिए सुरक्षा से जुड़े प्रॉम्प्ट को बायपास करने की सुविधा मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग में बदलाव करने के लिए, उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6708 | A-30693465 | ज़्यादा | सभी | 7.0 | सिर्फ़ Google के लिए |
Conscrypt में, जानकारी ज़ाहिर होने की समस्या
अगर कोई ऐप्लिकेशन लेगसी एन्क्रिप्शन एपीआई का इस्तेमाल करता है, तो Conscrypt में जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, हमलावर संवेदनशील जानकारी ऐक्सेस कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6709 | A-31081987 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0 | 9 अक्टूबर, 2015 |
download manager में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
डाउनलोड मैनेजर में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को ऑपरेटिंग सिस्टम की सुरक्षा को बायपास करने में मदद मिल सकती है. यह सुरक्षा, ऐप्लिकेशन के डेटा को दूसरे ऐप्लिकेशन से अलग करती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उस डेटा को ऐक्सेस करने के लिए किया जा सकता है जिसका ऐक्सेस ऐप्लिकेशन के पास नहीं है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6710 | A-30537115 [2] | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 30 जुलाई, 2016 |
ब्लूटूथ में सेवा में रुकावट की संवेदनशीलता
ब्लूटूथ में सेवा अस्वीकार करने की समस्या की वजह से, आस-पास मौजूद कोई हमलावर, उस डिवाइस के ब्लूटूथ ऐक्सेस को ब्लॉक कर सकता है जिस पर इस समस्या का असर पड़ा है. इस समस्या को 'ज़्यादा' रेटिंग दी गई है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2014-9908 | A-28672558 | ज़्यादा | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1 | 5 मई, 2014 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
OpenJDK में, सेवा में रुकावट की आशंका
OpenJDK में रिमोट डिनिएल ऑफ़ सर्विस (डीओएस) की एक गड़बड़ी है. इसकी मदद से, हमलावर किसी खास तरह की फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेटिंग दी गई है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2015-0410 | A-30703445 | ज़्यादा | सभी | 7.0 | 16 जनवरी, 2015 |
Mediaserver में सेवा में रुकावट की संवेदनशीलता
Mediaserver में रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की समस्या की वजह से, हमलावर किसी खास फ़ाइल का इस्तेमाल करके डिवाइस को हैंग कर सकता है या उसे रीबूट कर सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेटिंग दी गई है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6711 | A-30593765 | ज़्यादा | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 अगस्त, 2016 |
| CVE-2016-6712 | A-30593752 | ज़्यादा | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 अगस्त, 2016 |
| CVE-2016-6713 | A-30822755 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0 | 11 अगस्त, 2016 |
| CVE-2016-6714 | A-31092462 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0 | 22 अगस्त, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
फ़्रेमवर्क एपीआई में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की आशंका
फ़्रेमवर्क एपीआई में प्रिविलेज एस्केलेशन की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता की अनुमति के बिना ऑडियो रिकॉर्ड करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है. जैसे, ऐसी सुविधाओं का ऐक्सेस जिनके लिए आम तौर पर उपयोगकर्ता की ओर से शुरू करने या अनुमति देने की ज़रूरत होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6715 | A-29833954 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 जून, 2016 |
AOSP Launcher में, ऐप्लिकेशन के ऐक्सेस लेवल को बढ़ाने से जुड़ी जोखिम की आशंका
AOSP Launcher में प्रिविलेज एस्कलेशन की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता की अनुमति के बिना, ऐसे शॉर्टकट बनाने की अनुमति मिल सकती है जिनमें ज़्यादा प्रिविलेज हों. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है. जैसे, ऐसी सुविधाओं का ऐक्सेस जिनके लिए आम तौर पर उपयोगकर्ता की ओर से शुरू करने या अनुमति देने की ज़रूरत होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6716 | A-30778130 | काफ़ी हद तक ठीक है | सभी | 7.0 | 5 अगस्त, 2016 |
Mediaserver में, ऐक्सेस लेवल को बढ़ाने से जुड़ी जोखिम की आशंका
Mediaserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी दूसरी समस्या का फ़ायदा उठाना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6717 | A-31350239 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 7 सितंबर, 2016 |
Account Manager Service में, ऐक्सेस लेवल को बढ़ाने से जुड़ी समस्या
Account Manager Service में, ऐक्सेस लेवल की बढ़ोतरी से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन के बिना संवेदनशील जानकारी हासिल करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है. जैसे, ऐसी सुविधाओं का ऐक्सेस जिनके लिए आम तौर पर उपयोगकर्ता की अनुमति या पहल ज़रूरी होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6718 | A-30455516 | काफ़ी हद तक ठीक है | सभी | 7.0 | सिर्फ़ Google के लिए |
ब्लूटूथ में ऐक्सेस लेवल की सुविधा से जुड़ी जोखिम की आशंका
ब्लूटूथ कॉम्पोनेंट में, विशेषाधिकार बढ़ाने की समस्या की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, उपयोगकर्ता की सहमति के बिना किसी भी ब्लूटूथ डिवाइस से कनेक्ट हो सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करती है. जैसे, ऐसी सुविधाओं का ऐक्सेस जिनके लिए आम तौर पर उपयोगकर्ता की ओर से शुरू की गई कार्रवाई या अनुमति की ज़रूरत होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6719 | A-29043989 [2] | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सिर्फ़ Google के लिए |
Mediaserver में, जानकारी ज़ाहिर होने से जुड़ी जोखिम की आशंका
Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6720 | A-29422020 [2] [3] [4] | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 15 जून, 2016 |
| CVE-2016-6721 | A-30875060 | काफ़ी हद तक ठीक है | सभी | 6.0, 6.0.1, 7.0 | 13 अगस्त, 2016 |
| CVE-2016-6722 | A-31091777 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 23 अगस्त, 2016 |
प्रॉक्सी ऑटो कॉन्फ़िगरेशन में, सेवा में रुकावट की संवेदनशीलता
प्रॉक्सी ऑटो कॉन्फ़िगरेशन में, सेवा अस्वीकार करने की समस्या की वजह से, रिमोट से हमलावर किसी खास तरह की फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'मध्यम' रेटिंग दी गई है, क्योंकि इसके लिए डिवाइस का असामान्य कॉन्फ़िगरेशन ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6723 | A-30100884 [2] | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 11 जुलाई, 2016 |
Input Manager Service में, सेवा में रुकावट की समस्या
इनपुट मैनेजर सेवा में, सेवा के अस्वीकार होने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन की मदद से, डिवाइस बार-बार रीबूट हो सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह कुछ समय के लिए सेवा देने से रोकती है. इसे ठीक करने के लिए, डिवाइस को फ़ैक्ट्री रीसेट करना पड़ता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6724 | A-30568284 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सिर्फ़ Google के लिए |
05-11-2016 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-11-2016 के पैच लेवल पर लागू होती हैं. इसमें समस्या की जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
Qualcomm क्रिप्टो ड्राइवर में, रिमोट कोड को लागू करने से जुड़ी समस्या
Qualcomm क्रिप्टो ड्राइवर में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी कमज़ोरी की वजह से, रिमोट से हमलावर, कर्नेल के संदर्भ में कोई भी कोड चला सकता है. इस समस्या को गंभीर के तौर पर रेटिंग दी गई है, क्योंकि इसकी वजह से कर्नेल के संदर्भ में, रिमोट कोड को लागू किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6725 | A-30515053 QC-CR#1050970 |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 जुलाई, 2016 |
कर्नेल फ़ाइल सिस्टम में, ऐक्सेस लेवल को बढ़ाने से जुड़ी जोखिम
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-8961 | A-30952474
अपस्ट्रीम कर्नल |
सबसे अहम | Pixel, Pixel XL | 18 अक्टूबर, 2015 |
| CVE-2016-7911 | A-30946378
अपस्ट्रीम कर्नल |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 01 जुलाई, 2016 |
| CVE-2016-7910 | A-30942273
अपस्ट्रीम कर्नल |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 29 जुलाई, 2016 |
कर्नेल SCSI ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की आशंका
कर्नेल एससीएसआई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-8962 | A-30951599
अपस्ट्रीम कर्नल |
सबसे अहम | Pixel, Pixel XL | 30 अक्टूबर, 2015 |
कर्नेल मीडिया ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
कर्नेल मीडिया ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-7913 | A-30946097
अपस्ट्रीम कर्नल |
सबसे अहम | Nexus 6P, Android One, Nexus Player, Pixel, Pixel XL | 28 जनवरी, 2016 |
कर्नेल यूएसबी ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
कर्नेल यूएसबी ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-7912 | A-30950866
अपस्ट्रीम कर्नल |
सबसे अहम | Pixel C, Pixel, Pixel XL | 14 अप्रैल, 2016 |
कर्नेल ION सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की आशंका
कर्नेल ION सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6728 | A-30400942* | सबसे अहम | Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Android One | 25 जुलाई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm बूटलोडर में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम की आशंका
Qualcomm बूटलोडर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6729 | A-30977990*
QC-CR#977684 |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 25 जुलाई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
NVIDIA जीपीयू ड्राइवर में, ऐक्सेस लेवल को बढ़ाने से जुड़ी जोखिम
NVIDIA जीपीयू ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमजोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6730 | A-30904789* N-CVE-2016-6730 |
सबसे अहम | Pixel C | 16 अगस्त, 2016 |
| CVE-2016-6731 | A-30906023* N-CVE-2016-6731 |
सबसे अहम | Pixel C | 16 अगस्त, 2016 |
| CVE-2016-6732 | A-30906599* N-CVE-2016-6732 |
सबसे अहम | Pixel C | 16 अगस्त, 2016 |
| CVE-2016-6733 | A-30906694* N-CVE-2016-6733 |
सबसे अहम | Pixel C | 16 अगस्त, 2016 |
| CVE-2016-6734 | A-30907120* N-CVE-2016-6734 |
सबसे अहम | Pixel C | 16 अगस्त, 2016 |
| CVE-2016-6735 | A-30907701* N-CVE-2016-6735 |
सबसे अहम | Pixel C | 16 अगस्त, 2016 |
| CVE-2016-6736 | A-30953284* N-CVE-2016-6736 |
सबसे अहम | Pixel C | 18 अगस्त, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल नेटवर्किंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
कर्नेल नेटवर्किंग सबसिस्टम में, विशेषाधिकार के ऐक्सेस से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6828 | A-31183296
अपस्ट्रीम कर्नल |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 18 अगस्त, 2016 |
कर्नेल साउंड सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की आशंका
कर्नेल साउंड सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-2184 | A-30952477
अपस्ट्रीम कर्नल |
सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 31 मार्च, 2016 |
कर्नेल ION सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की आशंका
कर्नेल ION सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6737 | A-30928456* | सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm के कॉम्पोनेंट में जोखिम की आशंकाएं
नीचे दी गई टेबल में, सुरक्षा से जुड़ी ऐसी समस्याओं के बारे में बताया गया है जिनका असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इन समस्याओं के बारे में ज़्यादा जानकारी, Qualcomm AMSS जून 2016 के सुरक्षा बूलिटिन और सुरक्षा से जुड़ी चेतावनी 80-NV606-17 में दी गई है.
| CVE | रेफ़रंस | गंभीरता* | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6727 | A-31092400** | सबसे अहम | Android One | Qualcomm इंटरनल |
| CVE-2016-6726 | A-30775830** | ज़्यादा | Nexus 6, Android One | Qualcomm इंटरनल |
* इन जोखिमों की गंभीरता की रेटिंग, वेंडर ने तय की है.
** इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Expat में, रिमोट कोड कोड को चलाने की सुविधा से जुड़ी जोखिम
नीचे दी गई टेबल में, Expat लाइब्रेरी पर असर डालने वाली सुरक्षा से जुड़ी समस्याएं दी गई हैं. इनमें से सबसे गंभीर समस्या, Expat एक्सएमएल पार्सर में विशेषाधिकार बढ़ाने की समस्या है. इसकी मदद से, हैकर किसी खास तरह से तैयार की गई फ़ाइल का इस्तेमाल करके, बिना विशेषाधिकार वाली प्रोसेस में मनमुताबिक कोड चला सकता है. Expat का इस्तेमाल करने वाले ऐप्लिकेशन में, मनमुताबिक कोड लागू होने की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-0718 | A-28698301 | ज़्यादा | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 10 मई, 2016 |
| CVE-2012-6702 | A-29149404 | काफ़ी हद तक ठीक है | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 06 मार्च, 2016 |
| CVE-2016-5300 | A-29149404 | काफ़ी हद तक ठीक है | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 जून, 2016 |
| CVE-2015-1283 | A-27818751 | कम | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 24 जुलाई, 2015 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
वेबव्यू में रिमोट कोड को लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
वेबव्यू में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, उपयोगकर्ता के किसी वेबसाइट पर जाने के दौरान, मनमुताबिक कोड चला सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेट किया गया है, क्योंकि बिना अनुमति वाली प्रोसेस में रिमोट कोड लागू होने की संभावना है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-6754 | A-31217937 | ज़्यादा | कोई नहीं* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 अगस्त, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
Freetype में, रिमोट कोड कोड चलाने की सुविधा से जुड़ी जोखिम
Freetype में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी गड़बड़ी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, खास तौर पर तैयार किया गया फ़ॉन्ट लोड कर सकता है. इससे, बिना अनुमति वाली प्रोसेस में मेमोरी खराब हो सकती है. Freetype का इस्तेमाल करने वाले ऐप्लिकेशन में, रिमोट कोड लागू होने की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2014-9675 | A-24296662 [2] | ज़्यादा | कोई नहीं* | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | सिर्फ़ Google के लिए |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
कर्नेल परफ़ॉर्मेंस सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की आशंका
कर्नेल की परफ़ॉर्मेंस वाले सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी कमज़ोरी की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में कोई भी कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-8963 | A-30952077
अपस्ट्रीम कर्नल |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 15 दिसंबर, 2015 |
कर्नेल सिस्टम-कॉल ऑडिटिंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की आशंका
कर्नेल सिस्टम-कॉल ऑडिट करने वाले सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल में सिस्टम-कॉल ऑडिट करने की प्रोसेस को बाधित कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि यह कर्नेल-लेवल की बेहतर सुरक्षा या एक्सप्लॉइट को कम करने वाली टेक्नोलॉजी के लिए, सामान्य तरीके से बाईपास की जा सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6136 | A-30956807
अपस्ट्रीम कर्नल |
ज़्यादा | Android One, Pixel C, Nexus Player | 1 जुलाई, 2016 |
Qualcomm क्रिप्टो इंजन ड्राइवर में, विशेषाधिकार का ऐलिवेशन
Qualcomm क्रिप्टो इंजन ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6738 | A-30034511
QC-CR#1050538 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 जुलाई, 2016 |
Qualcomm कैमरा ड्राइवर में, ऐक्सेस लेवल की सुविधा से जुड़ी जोखिम की आशंका
Qualcomm कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6739 | A-30074605* QC-CR#1049826 |
ज़्यादा | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 11 जुलाई, 2016 |
| CVE-2016-6740 | A-30143904
QC-CR#1056307 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 जुलाई, 2016 |
| CVE-2016-6741 | A-30559423
QC-CR#1060554 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 जुलाई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm बस ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Qualcomm बस ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-3904 | A-30311977
QC-CR#1050455 |
ज़्यादा | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 जुलाई, 2016 |
Synaptics टचस्क्रीन ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
Synaptics टचस्क्रीन ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6742 | A-30799828* | ज़्यादा | Nexus 5X, Android One | 9 अगस्त, 2016 |
| CVE-2016-6744 | A-30970485* | ज़्यादा | Nexus 5X | 19 अगस्त, 2016 |
| CVE-2016-6745 | A-31252388* | ज़्यादा | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 1 सितंबर, 2016 |
| CVE-2016-6743 | A-30937462* | ज़्यादा | Nexus 9, Android One | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल कॉम्पोनेंट में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
कर्नेल कॉम्पोनेंट में, जानकारी ज़ाहिर करने की एक कमज़ोरी है. इसमें, मानव इंटरफ़ेस डिवाइस ड्राइवर, फ़ाइल सिस्टम, और टेलीटाइप ड्राइवर शामिल हैं. इसकी वजह से, नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की सुविधा मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2015-8964 | A-30951112
अपस्ट्रीम कर्नल |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 27 नवंबर, 2015 |
| CVE-2016-7915 | A-30951261
अपस्ट्रीम कर्नल |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 19 जनवरी, 2016 |
| CVE-2016-7914 | A-30513364
अपस्ट्रीम कर्नल |
ज़्यादा | Pixel C, Pixel, Pixel XL | 06 अप्रैल, 2016 |
| CVE-2016-7916 | A-30951939
अपस्ट्रीम कर्नल |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 05 मई, 2016 |
NVIDIA जीपीयू ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
NVIDIA GPU ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6746 | A-30955105* N-CVE-2016-6746 |
ज़्यादा | Pixel C | 18 अगस्त, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Mediaserver में सेवा में रुकावट की समस्या
Mediaserver में सेवा में रुकावट से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह से तैयार की गई फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'ज़्यादा' रेटिंग दी गई है, क्योंकि इसकी वजह से सेवा में रुकावट डालने की संभावना है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6747 | A-31244612* N-CVE-2016-6747 |
ज़्यादा | Nexus 9 | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
कर्नेल कॉम्पोनेंट में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
प्रोसेस-ग्रुपिंग सबसिस्टम और नेटवर्किंग सबसिस्टम के साथ-साथ, कर्नेल कॉम्पोनेंट में जानकारी ज़ाहिर करने की जोखिम वाली समस्या मौजूद है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की सुविधा मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-7917 | A-30947055
अपस्ट्रीम कर्नल |
काफ़ी हद तक ठीक है | Pixel C, Pixel, Pixel XL | 02 फ़रवरी, 2016 |
| CVE-2016-6753 | A-30149174* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player, Pixel, Pixel XL | 13 जुलाई, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
Qualcomm के कॉम्पोनेंट में, जानकारी ज़ाहिर होने की जोखिम
Qualcomm के कॉम्पोनेंट में, जानकारी ज़ाहिर करने की एक कमज़ोरी है. इसमें जीपीयू ड्राइवर, पावर ड्राइवर, एसएमएसएम पॉइंट-टू-पॉइंट ड्राइवर, और साउंड ड्राइवर शामिल हैं. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-6748 | A-30076504
QC-CR#987018 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 12 जुलाई, 2016 |
| CVE-2016-6749 | A-30228438
QC-CR#1052818 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 जुलाई, 2016 |
| CVE-2016-6750 | A-30312054
QC-CR#1052825 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 जुलाई, 2016 |
| CVE-2016-3906 | A-30445973
QC-CR#1054344 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6P | 27 जुलाई, 2016 |
| CVE-2016-3907 | A-30593266
QC-CR#1054352 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2 अगस्त, 2016 |
| CVE-2016-6698 | A-30741851
QC-CR#1058826 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 2 अगस्त, 2016 |
| CVE-2016-6751 | A-30902162* QC-CR#1062271 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 15 अगस्त, 2016 |
| CVE-2016-6752 | A-31498159
QC-CR#987051 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
06-11-2016 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हमने 06-11-2016 के सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्याओं की खास जानकारी में बताई गई, सुरक्षा से जुड़ी हर समस्या के बारे में जानकारी दी है. इसमें समस्या की जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
कर्नेल मेमोरी सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
कर्नेल मेमोरी सबसिस्टम में, विशेष सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
ध्यान दें: 06-11-2016 का सुरक्षा पैच लेवल बताता है कि इस समस्या के साथ-साथ, 01-11-2016 और 05-11-2016 से जुड़ी सभी समस्याओं को हल कर दिया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए कर्नेल वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-5195 | A-32141528 अपस्ट्रीम कर्नेल [2] |
सबसे अहम | 3.10, 3.18 | 12 अक्टूबर, 2016 |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.
- 01-11-2016 या उसके बाद के सुरक्षा पैच लेवल, 01-11-2016 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 05-11-2016 या इसके बाद के सिक्योरिटी पैच लेवल, 05-11-2016 के सिक्योरिटी पैच लेवल और इससे पहले के सभी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
- 06-11-2016 या उसके बाद के सिक्योरिटी पैच लेवल, 06-11-2016 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
डिवाइस बनाने वाली जिन कंपनियों ने ये अपडेट शामिल किए हैं उन्हें पैच लेवल की स्ट्रिंग को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2016-11-01]
- [ro.build.version.security_patch]:[2016-11-05]
- [ro.build.version.security_patch]:[2016-11-06].
2. इस सूचना में, सिक्योरिटी पैच के तीन लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के तीन लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों पर मौजूद मिलती-जुलती कमजोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 1 नवंबर, 2016 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए सुधार भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 5 नवंबर, 2016 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
- जिन डिवाइसों में 6 नवंबर, 2016 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. मुझे कैसे पता चलेगा कि हर समस्या का असर किन Google डिवाइसों पर पड़ा है?
01-11-2016, 05-11-2016, और 06-11-2016 के सुरक्षा से जुड़ी समस्याओं की जानकारी वाले सेक्शन में, हर टेबल में अपडेट किए गए Google डिवाइस कॉलम होता है. इसमें, हर समस्या के लिए, उन Google डिवाइसों की जानकारी होती है जिन पर असर पड़ा है. इस कॉलम में कुछ विकल्प होते हैं:
- सभी Google डिवाइस: अगर किसी समस्या का असर सभी Nexus और Pixel डिवाइसों पर पड़ता है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "सभी" दिखेगा. "सभी" में ये डिवाइस शामिल हैं: Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, और Pixel XL.
- कुछ Google डिवाइस: अगर किसी समस्या का असर सभी Google डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Google डिवाइसों कॉलम में दी गई है.
- कोई Google डिवाइस नहीं: अगर Android 7.0 पर काम करने वाले किसी भी Google डिवाइस पर इस समस्या का असर नहीं पड़ा है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" दिखेगा.
4. रेफ़रंस कॉलम में मौजूद एंट्री किससे मैप होती हैं?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है. ये प्रीफ़िक्स इस तरह मैप होते हैं:
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
संशोधन
- 07 नवंबर, 2016: बुलेटिन पब्लिश किया गया.
- 08 नवंबर: AOSP के लिंक शामिल करने के लिए, सूचना में बदलाव किया गया है. साथ ही, CVE-2016-6709 के लिए जानकारी अपडेट की गई है.
- 17 नवंबर: CVE-2016-6828 के लिए एट्रिब्यूशन शामिल करने के लिए, बुलेटिन में बदलाव किया गया.
- 21 दिसंबर: रिसर्चर क्रेडिट को अपडेट किया गया.