नेक्सस सुरक्षा बुलेटिन—अप्रैल 2016

04 अप्रैल 2016 को प्रकाशित | 19 दिसंबर 2016 को अपडेट किया गया

हमने अपनी एंड्रॉइड सुरक्षा बुलेटिन मासिक रिलीज प्रक्रिया के हिस्से के रूप में ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस उपकरणों के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 02 अप्रैल 2016 या उसके बाद के सुरक्षा पैच स्तर इन समस्याओं का समाधान करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें)।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 16 मार्च 2016 या उससे पहले सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

Android सुरक्षा सलाहकार 2016-03-18 में पहले रूटिंग एप्लिकेशन द्वारा CVE-2015-1805 के उपयोग पर चर्चा की गई थी। इस अद्यतन में CVE-2015-1805 का समाधान किया गया है। सक्रिय ग्राहक शोषण या अन्य नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं मिली है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेफ्टीनेट जैसी सेवा सुरक्षा पर अधिक जानकारी के लिए शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सिक्योरिटी टीम सक्रिय रूप से वेरिफाई ऐप्स और सेफ्टीनेट के साथ दुरुपयोग की निगरानी कर रही है, जो उपयोगकर्ता को इंस्टॉल किए जाने वाले संभावित हानिकारक एप्लिकेशन के बारे में चेतावनी देगी। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं। Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं की सुरक्षा के लिए, Verify Apps डिफ़ॉल्ट रूप से सक्षम है और उपयोगकर्ताओं को ज्ञात रूटिंग एप्लिकेशन के बारे में चेतावनी देगा। सत्यापित ऐप्स विशेषाधिकार वृद्धि भेद्यता का फायदा उठाने वाले ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की स्थापना को पहचानने और अवरुद्ध करने का प्रयास करता है। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और ऐसे किसी भी एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं तक नहीं पहुंचाते हैं।

स्वीकृतियाँ

Android सुरक्षा टीम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहती है:

Android सुरक्षा टीम CVE-2015-1805 में उनके योगदान के लिए युआन-त्सुंग लो , वेन्के डू , चियाचिह वू ( @chiachih_wu ), और C0RE टीम और ज़िम्पेरियम के ज़ुक्सियान जियांग को भी धन्यवाद देती है।

सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में 2016-04-02 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण है। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित बग, गंभीरता, प्रभावित संस्करण और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस AOSP कमिट को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया था। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त AOSP संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

डीएचसीपीसीडी में रिमोट कोड निष्पादन भेद्यता

डायनामिक होस्ट कॉन्फ़िगरेशन प्रोटोकॉल सेवा में एक भेद्यता एक हमलावर को मेमोरी भ्रष्टाचार का कारण बनने में सक्षम कर सकती है, जिससे रिमोट कोड निष्पादन हो सकता है। डीएचसीपी क्लाइंट के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। डीएचसीपी सेवा के पास उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2014-6060 एंड्रॉइड-15268738 गंभीर 4.4.4 30 जुलाई 2014
सीवीई-2014-6060 एंड्रॉइड-16677003 गंभीर 4.4.4 30 जुलाई 2014
सीवीई-2016-1503 एंड्रॉइड-26461634 गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 जनवरी 2016

मीडिया कोडेक में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर द्वारा उपयोग किए जाने वाले मीडिया कोडेक में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से नहीं पहुंच सकते हैं।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0834 एंड्रॉइड-26220548* गंभीर 6.0, 6.0.1 16 दिसंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, मीडियासर्वर में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से नहीं पहुंच सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0835 एंड्रॉइड-26070014 [ 2 ] गंभीर 6.0, 6.0.1 6 दिसंबर 2015
सीवीई-2016-0836 एंड्रॉइड-25812590 गंभीर 6.0, 6.0.1 19 नवंबर 2015
सीवीई-2016-0837 एंड्रॉइड-27208621 गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 फ़रवरी 11, 2016
सीवीई-2016-0838 एंड्रॉइड-26366256 [ 2 ] गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक
सीवीई-2016-0839 एंड्रॉइड-25753245 गंभीर 6.0, 6.0.1 गूगल आंतरिक
सीवीई-2016-0840 एंड्रॉइड-26399350 गंभीर 6.0, 6.0.1 गूगल आंतरिक
सीवीई-2016-0841 एंड्रॉइड-26040840 गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

libstagefright में रिमोट कोड निष्पादन भेद्यता

मीडिया फ़ाइल और विशेष रूप से तैयार की गई फ़ाइल के डेटा प्रोसेसिंग के दौरान, libstagefright में कमजोरियाँ एक हमलावर को मीडियासर्वर प्रक्रिया के रूप में मेमोरी भ्रष्टाचार और रिमोट कोड निष्पादन का कारण बनने की अनुमति दे सकती हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है, और ऐसे कई एप्लिकेशन हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

मीडियासर्वर सेवा के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है। मीडियासर्वर सेवा के पास ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से नहीं पहुंच सकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0842 एंड्रॉइड-25818142 गंभीर 6.0, 6.0.1 23 नवंबर 2015

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, और डिवाइस को संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी। इस समस्या का वर्णन Android सुरक्षा सलाहकार 2016-03-18 में किया गया था।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2015-1805 एंड्रॉइड-27275324* गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 फ़रवरी 2016

* AOSP में पैच विशिष्ट कर्नेल संस्करणों के लिए उपलब्ध है: 3.14 , 3.10 , और 3.4

क्वालकॉम प्रदर्शन मॉड्यूल में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम के एआरएम प्रोसेसर के लिए प्रदर्शन इवेंट मैनेजर घटक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के भीतर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, और डिवाइस को संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0843 एंड्रॉइड-25801197* गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 नवंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम आरएफ घटक में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम आरएफ ड्राइवर में एक भेद्यता है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है, और डिवाइस को संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0844 एंड्रॉइड-26324307 * गंभीर 6.0, 6.0.1 25 दिसंबर 2015

* इस समस्या के लिए एक अतिरिक्त पैच लिनक्स अपस्ट्रीम में स्थित है।

कर्नेल में विशेषाधिकार भेद्यता का बढ़ना

सामान्य कर्नेल में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में मूल्यांकित किया गया है और डिवाइस को संभवतः ऑपरेटिंग सिस्टम को फिर से फ्लैश करके मरम्मत करने की आवश्यकता होगी।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2014-9322 एंड्रॉइड-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
गंभीर 6.0, 6.0.1 25 दिसंबर 2015

IMemory नेटिव इंटरफ़ेस में विशेषाधिकार भेद्यता का उन्नयन

IMemory नेटिव इंटरफ़ेस में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0846 एंड्रॉइड-26877992 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 जनवरी 2016

दूरसंचार घटक में विशेषाधिकार भेद्यता का बढ़ना

टेलीकॉम घटक में विशेषाधिकार भेद्यता बढ़ने से हमलावर किसी भी मनमाने नंबर से कॉल करने में सक्षम हो सकता है। इस समस्या को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0847 एंड्रॉइड-26864502 [ 2 ] उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

डाउनलोड प्रबंधक में विशेषाधिकार भेद्यता का बढ़ना

डाउनलोड मैनेजर में विशेषाधिकार भेद्यता बढ़ने से हमलावर निजी भंडारण में अनधिकृत फ़ाइलों तक पहुंच प्राप्त कर सकता है। इस समस्या को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0848 एंड्रॉइड-26211054 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 दिसंबर 2015

पुनर्प्राप्ति प्रक्रिया में विशेषाधिकार भेद्यता का बढ़ना

पुनर्प्राप्ति प्रक्रिया में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0849 एंड्रॉइड-26960931 उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 3 फ़रवरी 2016

ब्लूटूथ में विशेषाधिकार भेद्यता का बढ़ना

ब्लूटूथ में विशेषाधिकार भेद्यता बढ़ने से प्रारंभिक युग्मन प्रक्रिया के दौरान एक अविश्वसनीय डिवाइस को फोन के साथ युग्मित करने में सक्षम बनाया जा सकता है। इससे इंटरनेट कनेक्शन जैसे डिवाइस संसाधनों तक अनधिकृत पहुंच हो सकती है। इस समस्या को उच्च गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है जो अविश्वसनीय उपकरणों तक पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-0850 एंड्रॉइड-26551752 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 जनवरी 2016

टेक्सास इंस्ट्रूमेंट्स हैप्टिक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

टेक्सास इंस्ट्रूमेंट्स हैप्टिक कर्नेल ड्राइवर में विशेषाधिकार भेद्यता में वृद्धि हुई है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करने की आवश्यकता होती है जो ड्राइवर को कॉल कर सके, इसके बजाय इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2409 एंड्रॉइड-25981545* उच्च 6.0, 6.0.1 25 दिसंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम वीडियो कर्नेल ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वीडियो कर्नेल ड्राइवर में विशेषाधिकार भेद्यता में वृद्धि हुई है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर कर्नेल कोड निष्पादन भेद्यता को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए पहले एक ऐसी सेवा से समझौता करना आवश्यक है जो ड्राइवर को कॉल कर सके, इसके बजाय इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2410 एंड्रॉइड-26291677* उच्च 6.0, 6.0.1 21 दिसंबर 2015

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम पावर प्रबंधन घटक में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम पावर मैनेजमेंट कर्नेल ड्राइवर में विशेषाधिकार भेद्यता में वृद्धि हुई है जो स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। आम तौर पर इस तरह के कर्नेल कोड निष्पादन बग को क्रिटिकल रेटिंग दी जाएगी, लेकिन क्योंकि इसके लिए पहले डिवाइस से समझौता करना और रूट तक उन्नयन की आवश्यकता होती है, इसलिए इसे उच्च गंभीरता के रूप में रेट किया गया है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2411 एंड्रॉइड-26866053* उच्च 6.0, 6.0.1 28 जनवरी 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

System_server में विशेषाधिकार भेद्यता का बढ़ना

System_server में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2412 एंड्रॉइड-26593930 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 जनवरी 2016

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना

मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमतियाँ विशेषाधिकार, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2413 एंड्रॉइड-26403627 उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 5 जनवरी 2016

मिनिकिन में सेवा भेद्यता से इनकार

मिनिकिन लाइब्रेरी में सेवा भेद्यता से इनकार एक स्थानीय हमलावर को प्रभावित डिवाइस तक पहुंच को अस्थायी रूप से अवरुद्ध करने की अनुमति दे सकता है। एक हमलावर एक अविश्वसनीय फ़ॉन्ट लोड कर सकता है और मिनिकिन घटक में अतिप्रवाह का कारण बन सकता है, जिससे दुर्घटना हो सकती है। इसे उच्च गंभीरता का दर्जा दिया गया है क्योंकि सेवा से इनकार करने से निरंतर रीबूट लूप हो जाएगा।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2414 एंड्रॉइड-26413177 [ 2 ] उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 3 नवंबर 2015

एक्सचेंज एक्टिवसिंक में सूचना प्रकटीकरण भेद्यता

एक्सचेंज एक्टिवसिंक में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च गंभीरता का दर्जा दिया गया है क्योंकि यह संरक्षित डेटा तक दूरस्थ पहुंच की अनुमति देता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2415 एंड्रॉइड-26488455 उच्च 5.0.2, 5.1.1, 6.0, 6.0.1 11 जनवरी 2016

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता प्लेटफ़ॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों को बायपास करने की अनुमति दे सकती है। इन मुद्दों को उच्च गंभीरता के रूप में मूल्यांकित किया गया है क्योंकि इनका उपयोग उन्नत क्षमताओं को प्राप्त करने के लिए भी किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो तीसरे पक्ष के अनुप्रयोगों के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2416 एंड्रॉइड-27046057 [ 2 ] उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 फ़रवरी 2016
सीवीई-2016-2417 एंड्रॉइड-26914474 उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 फ़रवरी 2016
सीवीई-2016-2418 एंड्रॉइड-26324358 उच्च 6.0, 6.0.1 24 दिसंबर 2015
सीवीई-2016-2419 एंड्रॉइड-26323455 उच्च 6.0, 6.0.1 24 दिसंबर 2015

डिबगर्ड घटक में विशेषाधिकार भेद्यता का उन्नयन

डिबगर्ड घटक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमाना कोड निष्पादित करने में सक्षम कर सकता है जिससे स्थायी डिवाइस समझौता हो सकता है। परिणामस्वरूप, संभवतः ऑपरेटिंग सिस्टम को पुनः फ़्लैश करके डिवाइस की मरम्मत की आवश्यकता होगी। आम तौर पर इस तरह के कोड निष्पादन बग को क्रिटिकल के रूप में रेट किया जाएगा, लेकिन क्योंकि यह केवल एंड्रॉइड संस्करण 4.4.4 में सिस्टम से रूट तक विशेषाधिकार को बढ़ाने में सक्षम बनाता है, इसके बजाय इसे मॉडरेट के रूप में रेट किया गया है। एंड्रॉइड संस्करण 5.0 और उससे ऊपर के संस्करणों में, SELinux नियम तीसरे पक्ष के एप्लिकेशन को प्रभावित कोड तक पहुंचने से रोकते हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2420 एंड्रॉइड-26403620 [ 2 ] मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 जनवरी 2016

सेटअप विज़ार्ड में विशेषाधिकार भेद्यता का उन्नयन

सेटअप विज़ार्ड में एक भेद्यता किसी हमलावर को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकती है। इसे मध्यम गंभीरता का दर्जा दिया गया है क्योंकि यह संभावित रूप से किसी डिवाइस तक भौतिक पहुंच वाले किसी व्यक्ति को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की अनुमति देता है, जो एक हमलावर को सभी डेटा को मिटाकर डिवाइस को सफलतापूर्वक रीसेट करने में सक्षम बनाता है।

सीवीई कीड़ा तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2421 एंड्रॉइड-26154410* मध्यम 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Nexus डिवाइसों के लिए नवीनतम बाइनरी रिलीज़ में शामिल है।

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना

वाई-फ़ाई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम गंभीरता के रूप में रेट किया गया है क्योंकि इसका उपयोग सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार जैसी उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है, जो किसी तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2422 एंड्रॉइड-26324357 मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 दिसम्बर 2015

टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना

टेलीफ़ोनी में एक भेद्यता किसी हमलावर को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने और डिवाइस तक पहुंच प्राप्त करने की अनुमति दे सकती है। इसे मध्यम गंभीरता का दर्जा दिया गया है क्योंकि यह संभावित रूप से किसी डिवाइस तक भौतिक पहुंच वाले किसी व्यक्ति को फ़ैक्टरी रीसेट प्रोटेक्शन को बायपास करने की अनुमति देता है, जो एक हमलावर को सभी डेटा को मिटाकर डिवाइस को सफलतापूर्वक रीसेट करने में सक्षम बनाता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2423 एंड्रॉइड-26303187 मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

SyncStorageEngine में सेवा भेद्यता का खंडन

SyncStorageEngine में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को रीबूट लूप का कारण बनने में सक्षम कर सकता है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग स्थानीय रूप से सेवा को अस्थायी रूप से अस्वीकार करने के लिए किया जा सकता है जिसे संभवतः फ़ैक्टरी रीसेट के माध्यम से ठीक करने की आवश्यकता होगी।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2424 एंड्रॉइड-26513719 मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

AOSP मेल में सूचना प्रकटीकरण भेद्यता

AOSP मेल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता की निजी जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग अनुचित तरीके से "खतरनाक" अनुमतियाँ प्राप्त करने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2425 एंड्रॉइड-26989185 मध्यम 4.4.4, 5.1.1, 6.0, 6.0.1 29 जनवरी 2016
सीवीई-2016-2425 एंड्रॉइड-7154234* मध्यम 5.0.2 29 जनवरी 2016

* इस समस्या का पैच AOSP में नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Nexus डिवाइसों के लिए नवीनतम बाइनरी रिलीज़ में शामिल है।

फ्रेमवर्क में सूचना प्रकटीकरण भेद्यता

फ़्रेमवर्क घटक में सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम गंभीरता का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक अनुचित तरीके से पहुंचने के लिए किया जा सकता है।

सीवीई AOSP लिंक के साथ बग तीव्रता अद्यतन संस्करण दिनांक सूचित किया गया
सीवीई-2016-2426 एंड्रॉइड-26094635 मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 दिसंबर 2015

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तरों की समीक्षा करता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

2 अप्रैल 2016 या उसके बाद के सुरक्षा पैच स्तर इन समस्याओं का समाधान करते हैं (सुरक्षा पैच स्तर की जांच करने के निर्देशों के लिए नेक्सस दस्तावेज़ देखें)। जिन डिवाइस निर्माताओं में ये अद्यतन शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए: [ro.build.version.security_patch]:[2016-04-02]

2. यह सुरक्षा पैच लेवल 2 अप्रैल 2016 क्यों है?

मासिक सुरक्षा अद्यतन के लिए सुरक्षा पैच स्तर सामान्यतः महीने के पहले दिन पर सेट किया जाता है। अप्रैल के लिए, 1 अप्रैल 2016 का सुरक्षा पैच स्तर इंगित करता है कि एंड्रॉइड सुरक्षा सलाहकार 2016-03-18 में वर्णित सीवीई-2015-1805 के अपवाद के साथ इस बुलेटिन में वर्णित सभी मुद्दों को संबोधित किया गया है। 2 अप्रैल, 2016 का सुरक्षा पैच स्तर इंगित करता है कि एंड्रॉइड सुरक्षा सलाहकार 2016-03-18 में वर्णित सीवीई-2015-1805 सहित इस बुलेटिन में वर्णित सभी मुद्दों को संबोधित किया गया है।

संशोधन

  • 04 अप्रैल, 2016: बुलेटिन प्रकाशित।
  • 06 अप्रैल, 2016: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
  • 07 अप्रैल, 2016: बुलेटिन को एक अतिरिक्त एओएसपी लिंक शामिल करने के लिए संशोधित किया गया।
  • 11 जुलाई 2016: सीवीई-2016-2427 का अद्यतन विवरण।
  • 01 अगस्त 2016: सीवीई-2016-2427 का अद्यतन विवरण
  • 19 दिसंबर 2016: सीवीई-2016-2427 को हटाने के लिए अद्यतन किया गया, जिसे वापस कर दिया गया।