05 दिसंबर 2016 को प्रकाशित | 21 दिसंबर 2016 को अद्यतन किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट भी जारी किया है। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 दिसंबर 2016 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 07 नवंबर 2016 या उससे पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इनमें से सबसे गंभीर समस्या डिवाइस-विशिष्ट कोड में गंभीर सुरक्षा कमजोरियां हैं जो कर्नेल के संदर्भ में मनमाने ढंग से कोड निष्पादन को सक्षम कर सकती हैं, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है। . गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाएं
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2016-12-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-12-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2016-12-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2016-12-01 और 2016-12-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित Google उपकरणों को 05 दिसंबर, 2016 सुरक्षा पैच स्तर के साथ एक एकल OTA अपडेट प्राप्त होगा।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- अलीबाबा मोबाइल सुरक्षा समूह के बाओज़ेंग डिंग, चेंगमिंग यांग, पेंग जिओ, निंग यू, यांग डोंग, चाओ यांग, यी झांग और यांग सॉन्ग: CVE-2016-6783, CVE-2016-6784, CVE-2016-6785
- ची झांग , मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6789, CVE-2016-6790
- क्रिश्चियन सील: सीवीई-2016-6769
- Google के डेविड बेंजामिन और केनी रूट: CVE-2016-6767
- कीनलैब के डि शेन ( @returnsme ), टेनसेंट: CVE-2016-6776, CVE - 2016-6787
- MS509Team के एन हे ( @heeeeen4x ) : CVE-2016-6763
- गेंग्जिया चेन ( @chengjia4574 ), आइसस्वॉर्ड लैब के पीजेएफ , क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2016-6779, सीवीई-2016-6778, सीवीई-2016-8401, सीवीई-2016-8402, सीवीई-2016-8403, सीवीई-2016-8409, सीवीई-2016-8408, सीवीई-2016-8404
- जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2016-6788, सीवीई-2016-6781, सीवीई-2016-6782, सीवीई-2016-8396
- लुबो झांग , टोंग लिन , युआन-त्सुंग लो , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6791, CVE-2016-8391, CVE-2016-8392
- प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-6772
- माइकल बेडनार्स्की : सीवीई-2016-6770, सीवीई-2016-6774
- मिंगजियन झोउ ( @Mingjian_Zhou ), ची झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6761, CVE-2016-6759, CVE-2016-8400
- मिंगजियन झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6760
- मिंगजियन झोउ ( @Mingjian_Zhou ), हानक्सियांग वेन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6759
- टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे ): सीवीई-2016-6915, सीवीई-2016-6916, सीवीई-2016-6917
- नाइटवॉच साइबर सुरक्षा अनुसंधान ( @nightwatchcyber ): CVE-2016-5341
- पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब के लेनक्स वेई (韦韬): CVE-2016-6755, CVE-2016-6756
- ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-8397, CVE-2016-8405, CVE-2016-8406, CVE-2016-8407
- किदान हे (何淇丹) ( @flanker_hqd ) कीनलैब, टेनसेंट (腾讯科恩实验室): CVE-2016-8399, CVE-2016-8395
- कीडन हे (何淇丹) ( @flanker_hqd ) और कीनलैब, टेनसेंट के मार्को ग्रासी ( @marcograss ) (腾讯科恩实验室): CVE-2016-6768
- रिचर्ड शुपाक: सीवीई-2016-5341
- आईबीएम एक्स-फोर्स रिसर्च के सागी केडमी: सीवीई-2016-8393, सीवीई-2016-8394
- मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ), ट्रेंड माइक्रो इंक.: CVE-2016-6757
- अलीबाबा इंक. के वीचाओ सन ( @sunblate ): CVE-2016-6773
- वेन्के डू , ची झांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-6765
- मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो इंक. के विश वू ( @wish_wu ) (吴潍浠): CVE-2016-6704
- युआन-त्सुंग लो , टोंग लिन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियान जियांग: CVE-2016-6786, CVE-2016-6780, CVE-2016-6775
- युआन-त्सुंग लो , ज़ियाओडोंग वांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियान जियांग: CVE-2016-6777
- Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के युक्सियांग ली: CVE-2016-6771
- चेंगदू सिक्योरिटी रिस्पांस सेंटर, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के झे जिन (金哲): सीवीई-2016-6764, सीवीई-2016-6766
- क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के चेंगदू सुरक्षा प्रतिक्रिया केंद्र के ज़िनुओ हान : सीवीई-2016-6762
इस सुरक्षा बुलेटिन में उनके योगदान के लिए बॉटल टेक के मेंगलुओ गौ ( @idhyt3r ), योंग वांग (王勇) ( @ThomasKing2014 ), और Google के ज़ुबिन मिथरा को धन्यवाद।
2016-12-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-12-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
CURL/LIBCURL में रिमोट कोड निष्पादन भेद्यता
तालिका में CURL और LIBCURL लाइब्रेरीज़ को प्रभावित करने वाली सुरक्षा कमजोरियाँ शामिल हैं। सबसे गंभीर समस्या एक मध्यस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए जाली प्रमाणपत्र का उपयोग करने में सक्षम कर सकती है। हमलावर को जाली प्रमाणपत्र की आवश्यकता होने के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-5419 | ए-31271247 | उच्च | सभी | 7.0 | 3 अगस्त 2016 |
| सीवीई-2016-5420 | ए-31271247 | उच्च | सभी | 7.0 | 3 अगस्त 2016 |
| सीवीई-2016-5421 | ए-31271247 | उच्च | सभी | 7.0 | 3 अगस्त 2016 |
libziparchive में विशेषाधिकार भेद्यता का बढ़ना
Libziparchive लाइब्रेरी में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6762 | ए-31251826 [ 2 ] | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 28 अगस्त 2016 |
टेलीफोनी में सेवा भेद्यता का खंडन
टेलीफ़ोनी में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। स्थानीय स्तर पर स्थायी रूप से सेवा से इनकार की संभावना के कारण इस मुद्दे को उच्च श्रेणी का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6763 | ए-31530456 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 12, 2016 |
मीडियासर्वर में सेवा भेद्यता का खंडन
मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6766 | ए-31318219 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 5, 2016 |
| सीवीई-2016-6765 | ए-31449945 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 7.0 | सितम्बर 13, 2016 |
| सीवीई-2016-6764 | ए-31681434 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 22, 2016 |
| सीवीई-2016-6767 | ए-31833604 | उच्च | कोई नहीं* | 4.4.4 | गूगल आंतरिक |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
फ़्रेमसीक्वेंस लाइब्रेरी में रिमोट कोड निष्पादन भेद्यता
फ़्रेमसीक्वेंस लाइब्रेरी में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। फ़्रेमसीक्वेंस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6768 | ए-31631842 | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 19 सितम्बर 2016 |
स्मार्ट लॉक में विशेषाधिकार भेद्यता का बढ़ना
स्मार्ट लॉक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण उपयोगकर्ता को बिना पिन के स्मार्ट लॉक सेटिंग्स तक पहुंचने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए सबसे पहले एक अनलॉक किए गए डिवाइस तक भौतिक पहुंच की आवश्यकता होती है जहां स्मार्ट लॉक उपयोगकर्ता द्वारा एक्सेस किया गया अंतिम सेटिंग फलक था।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6769 | ए-29055171 | मध्यम | कोई नहीं* | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 मई 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना
फ़्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके एक्सेस स्तर से परे सिस्टम फ़ंक्शंस तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह एक प्रतिबंधित प्रक्रिया पर प्रतिबंधों का स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6770 | ए-30202228 | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | 16 जुलाई 2016 |
टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना
टेलीफ़ोनी में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके एक्सेस स्तर से परे सिस्टम फ़ंक्शंस तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह एक प्रतिबंधित प्रक्रिया पर प्रतिबंधों का स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6771 | ए-31566390 | मध्यम | सभी | 6.0, 6.0.1, 7.0 | सितम्बर 17, 2016 |
वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना
वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6772 | ए-31856351 [ 2 ] | मध्यम | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 | सितम्बर 30, 2016 |
मीडियासर्वर में सूचना प्रकटीकरण भेद्यता
मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6773 | ए-30481714 [ 2 ] | मध्यम | सभी | 6.0, 6.0.1, 7.0 | 27 जुलाई 2016 |
पैकेज मैनेजर में सूचना प्रकटीकरण भेद्यता
पैकेज मैनेजर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-6774 | ए-31251489 | मध्यम | सभी | 7.0 | 29 अगस्त 2016 |
2016-12-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2016-12-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल मेमोरी सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-4794 | ए-31596597 अपस्ट्रीम कर्नेल [ 2 ] | गंभीर | पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल | 17 अप्रैल 2016 |
| सीवीई-2016-5195 | ए-32141528 अपस्ट्रीम कर्नेल [ 2 ] | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 12 अक्टूबर 2016 |
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6775 | ए-31222873* एन-सीवीई-2016-6775 | गंभीर | नेक्सस 9 | 25 अगस्त 2016 |
| सीवीई-2016-6776 | ए-31680980* एन-सीवीई-2016-6776 | गंभीर | नेक्सस 9 | सितम्बर 22, 2016 |
| सीवीई-2016-6777 | ए-31910462* एन-सीवीई-2016-6777 | गंभीर | नेक्सस 9 | 3 अक्टूबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8966 | ए-31435731 अपस्ट्रीम कर्नेल | गंभीर | कोई नहीं* | सितम्बर 10, 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6915 | ए-31471161* एन-सीवीई-2016-6915 | गंभीर | नेक्सस 9 | सितम्बर 13, 2016 |
| सीवीई-2016-6916 | ए-32072350* एन-सीवीई-2016-6916 | गंभीर | नेक्सस 9, पिक्सेल सी | सितम्बर 13, 2016 |
| सीवीई-2016-6917 | ए-32072253* एन-सीवीई-2016-6917 | गंभीर | नेक्सस 9 | सितम्बर 13, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल ION ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-9120 | ए-31568617 अपस्ट्रीम कर्नेल | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel C, Nexus प्लेयर | 16 सितम्बर 2016 |
क्वालकॉम घटकों में कमजोरियाँ
निम्नलिखित कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और क्वालकॉम एएमएसएस नवंबर 2015 सुरक्षा बुलेटिन में आगे विस्तार से वर्णित है।
| सीवीई | संदर्भ | तीव्रता* | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8411 | ए-31805216** | गंभीर | नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | क्वालकॉम आंतरिक |
* इन कमजोरियों की गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।
** इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-4014 | ए-31252187 अपस्ट्रीम कर्नेल | उच्च | नेक्सस 6, नेक्सस प्लेयर | 10 जून 2014 |
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक अलग भेद्यता के शोषण की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-8967 | ए-31703084 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6P, Nexus 9, Pixel C, Pixel, Pixel XL | 8 जनवरी 2015 |
एचटीसी साउंड कोडेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
एचटीसी साउंड कोडेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6778 | ए-31384646* | उच्च | नेक्सस 9 | फ़रवरी 25, 2016 |
| सीवीई-2016-6779 | ए-31386004* | उच्च | नेक्सस 9 | फ़रवरी 25, 2016 |
| सीवीई-2016-6780 | ए-31251496* | उच्च | नेक्सस 9 | 30 अगस्त 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6492 | ए-28175122 एमटी-एएलपीएस02696413 | उच्च | कोई नहीं* | 11 अप्रैल 2016 |
| सीवीई-2016-6781 | ए-31095175 एमटी-एएलपीएस02943455 | उच्च | कोई नहीं* | 22 अगस्त 2016 |
| सीवीई-2016-6782 | ए-31224389 एमटी-एएलपीएस02943506 | उच्च | कोई नहीं* | 24 अगस्त 2016 |
| सीवीई-2016-6783 | ए-31350044 एमटी-एएलपीएस02943437 | उच्च | कोई नहीं* | सितम्बर 6, 2016 |
| सीवीई-2016-6784 | ए-31350755 एमटी-एएलपीएस02961424 | उच्च | कोई नहीं* | सितम्बर 6, 2016 |
| सीवीई-2016-6785 | ए-31748056 एमटी-ALPS02961400 | उच्च | कोई नहीं* | सितम्बर 25, 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम मीडिया कोडेक्स में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6761 | ए-29421682* क्यूसी-सीआर#1055792 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL | 16 जून 2016 |
| सीवीई-2016-6760 | ए-29617572* क्यूसी-सीआर#1055783 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL | 23 जून 2016 |
| सीवीई-2016-6759 | ए-29982686* क्यूसी-सीआर#1055766 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL | 4 जुलाई 2016 |
| सीवीई-2016-6758 | ए-30148882* क्यूसी-सीआर#1071731 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL | 13 जुलाई 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6755 | ए-30740545 क्यूसी-सीआर#1065916 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 3 अगस्त 2016 |
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल प्रदर्शन सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6786 | ए-30955111 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 18 अगस्त 2016 |
| सीवीई-2016-6787 | ए-31095224 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | 22 अगस्त 2016 |
मीडियाटेक I2C ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
मीडियाटेक I2C ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6788 | ए-31224428 एमटी-एएलपीएस02943467 | उच्च | कोई नहीं* | 24 अगस्त 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
NVIDIA libomx लाइब्रेरी में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA libomx लाइब्रेरी (libnvomx) में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6789 | ए-31251973* एन-सीवीई-2016-6789 | उच्च | पिक्सेल सी | 29 अगस्त 2016 |
| सीवीई-2016-6790 | ए-31251628* एन-सीवीई-2016-6790 | उच्च | पिक्सेल सी | 28 अगस्त 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6791 | ए-31252384 क्यूसी-सीआर#1071809 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 अगस्त 2016 |
| सीवीई-2016-8391 | ए-31253255 क्यूसी-सीआर#1072166 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 31 अगस्त 2016 |
| सीवीई-2016-8392 | ए-31385862 क्यूसी-सीआर#1073136 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | सितम्बर 8, 2016 |
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2015-7872 | ए-31253168 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel, Pixel XL | 31 अगस्त 2016 |
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8393 | ए-31911920* | उच्च | Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | सितम्बर 8, 2016 |
| सीवीई-2016-8394 | ए-31913197* | उच्च | नेक्सस 9, एंड्रॉइड वन | सितम्बर 8, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-9909 | ए-31676542 बी-आरबी#26684 | उच्च | कोई नहीं* | सितम्बर 21, 2016 |
| सीवीई-2014-9910 | ए-31746399 बी-आरबी#26710 | उच्च | कोई नहीं* | सितम्बर 26, 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
मीडियाटेक वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता
मीडियाटेक वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8396 | ए-31249105 | उच्च | कोई नहीं* | 26 अगस्त 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8397 | ए-31385953* एन-सीवीई-2016-8397 | उच्च | नेक्सस 9 | सितम्बर 8, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
जीपीएस में सेवा भेद्यता का खंडन
क्वालकॉम जीपीएस घटक में सेवा से इनकार की भेद्यता एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकती है। सेवा के अस्थायी दूरस्थ अस्वीकरण की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-5341 | ए-31470303* | उच्च | Nexus 6, Nexus 5X, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 21 जून 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA कैमरा ड्राइवर में सेवा भेद्यता का खंडन
NVIDIA कैमरा ड्राइवर में सेवा से इनकार की भेद्यता एक हमलावर को स्थानीय स्थायी सेवा से इनकार करने में सक्षम कर सकती है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है। स्थानीय स्तर पर स्थायी रूप से सेवा से इनकार की संभावना के कारण इस मुद्दे को उच्च श्रेणी का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8395 | ए-31403040* एन-सीवीई-2016-8395 | उच्च | पिक्सेल सी | सितम्बर 9, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान कंपाइलर अनुकूलन कमजोर कोड तक पहुंच को प्रतिबंधित करता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8399 | ए-31349935* | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | सितम्बर 5, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम घटकों में सूचना प्रकटीकरण भेद्यता
कैमरा ड्राइवर और वीडियो ड्राइवर सहित क्वालकॉम घटकों में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-6756 | ए-29464815 क्यूसी-सीआर#1042068 [ 2 ] | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 17 जून 2016 |
| सीवीई-2016-6757 | ए-30148242 क्यूसी-सीआर#1052821 | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 13 जुलाई 2016 |
NVIDIA librm लाइब्रेरी में सूचना प्रकटीकरण भेद्यता
NVIDIA librm लाइब्रेरी (libnvrm) में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8400 | ए-31251599* एन-सीवीई-2016-8400 | मध्यम | पिक्सेल सी | 29 अगस्त 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता
ION सबसिस्टम, बाइंडर, USB ड्राइवर और नेटवर्किंग सबसिस्टम सहित कर्नेल घटकों में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8401 | ए-31494725* | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | सितम्बर 13, 2016 |
| सीवीई-2016-8402 | ए-31495231* | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | सितम्बर 13, 2016 |
| सीवीई-2016-8403 | ए-31495348* | मध्यम | नेक्सस 9 | सितम्बर 13, 2016 |
| सीवीई-2016-8404 | ए-31496950* | मध्यम | नेक्सस 9 | सितम्बर 13, 2016 |
| सीवीई-2016-8405 | ए-31651010* | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | सितम्बर 21, 2016 |
| सीवीई-2016-8406 | ए-31796940* | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | सितम्बर 27, 2016 |
| सीवीई-2016-8407 | ए-31802656* | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | सितम्बर 28, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8408 | ए-31496571* एन-सीवीई-2016-8408 | मध्यम | नेक्सस 9 | सितम्बर 13, 2016 |
| सीवीई-2016-8409 | ए-31495687* एन-सीवीई-2016-8409 | मध्यम | नेक्सस 9 | सितम्बर 13, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम साउंड ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8410 | ए-31498403 क्यूसी-सीआर#987010 | मध्यम | नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, एंड्रॉइड वन | गूगल आंतरिक |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।
- 2016-12-01 या उसके बाद के सुरक्षा पैच स्तर 2016-12-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
- 2016-12-05 या बाद के सुरक्षा पैच स्तर 2016-12-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों का समाधान करते हैं।
जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2016-12-01]
- [ro.build.version.security_patch]:[2016-12-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- जो डिवाइस 1 दिसंबर 2016 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
- जो डिवाइस 5 दिसंबर 2016 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।
3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?
2016-12-01 और 2016-12-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड Google डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी Google डिवाइस : यदि कोई समस्या सभी और पिक्सेल डिवाइसों को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "ऑल" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: नेक्सस 5, नेक्सस 5एक्स, नेक्सस 6, नेक्सस 6पी, नेक्सस 9, एंड्रॉइड वन, नेक्सस प्लेयर, पिक्सेल सी, पिक्सेल और पिक्सेल एक्सएल।
- कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
- कोई Google डिवाइस नहीं : यदि Android 7.0 पर चलने वाला कोई भी Google डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" होगा।
4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
संशोधन
- 05 दिसंबर 2016: बुलेटिन प्रकाशित.
- 07 दिसंबर 2016: सीवीई-2016-6915, सीवीई-2016-6916 और सीवीई-2016-6917 के लिए एओएसपी लिंक और अद्यतन एट्रिब्यूशन को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
- 21 दिसंबर, 2016: सीवीई-2016-8411 विवरण और सामान्य प्रश्न और उत्तर में सही टाइपो।