Android सुरक्षा बुलेटिन—जुलाई 2016

06 जुलाई 2016 को प्रकाशित | 1 अप्रैल 2019 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। नेक्सस फर्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 05 जुलाई, 2016 या बाद के सुरक्षा पैच स्तर इस बुलेटिन में सभी लागू मुद्दों को संबोधित करते हैं। सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए दस्तावेज़ीकरण देखें।

भागीदारों को 06 जून, 2016 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। जहां लागू हो, इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी कर दिए गए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सुरक्षा सुरक्षा जैसे सेवा सुरक्षा के विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाओं

  • यह बुलेटिन दो सुरक्षा पैच स्तर स्ट्रिंग्स को परिभाषित करता है ताकि सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक सबसेट को ठीक करने के लिए एंड्रॉइड भागीदारों को लचीलापन प्रदान किया जा सके। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2016-07-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-07-01 से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2016-07-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2016-07-01 और 2016-07-05 से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित Nexus डिवाइसों को 05 जुलाई, 2016 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।

Android और Google सेवा में कमी

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
  • जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google Chrome सुरक्षा टीम के अभिषेक आर्य, ओलिवर चांग और मार्टिन बारबेला: CVE-2016-3756, CVE-2016-3741, CVE-2016-3743, CVE-2016-3742
  • एडम डोननफेल्ड एट अल। चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज लिमिटेड की: सीवीई-2016-2503
  • Google के एडम पॉवेल: CVE-2016-3752
  • संदर्भ सूचना सुरक्षा के एलेक्स चैपमैन और पॉल स्टोन: CVE-2016-3763
  • e2e- assure के एंडी टायलर ( @ticarpi ) : CVE-2016-2457
  • Google प्रोजेक्ट ज़ीरो के बेन हॉक्स: CVE-2016-3775
  • चियाचिह वू ( @chiachih_wu ), युआन-त्सुंग लो ( computernik@gmail.com ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-3770, CVE-2016-3771, CVE-2016-3772, CVE-2016-3773, सीवीई-2016-3774
  • Google के क्रिस्टोफर टेट: CVE-2016-3759
  • कीनलैब ( @keen_lab ) के डि शेन ( @returnsme ), Tencent: CVE-2016-3762
  • आइसस्वॉर्ड लैब, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के गेंगजिया चेन ( @ चेंगजिया 4574 ), पीजेएफ ( weibo.com/jfpan ): सीवीई-2016-3806, सीवीई-2016-3816, सीवीई-2016-3805, सीवीई-2016-3804 , सीवीई-2016-3767, सीवीई-2016-3810, सीवीई-2016-3795, सीवीई-2016-3796
  • Google Android टीम के ग्रेग कैसर: CVE-2016-3758
  • मोबाइल सेफ टीम, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के गुआंग गोंग (龚广) ( @oldfresher ) .: CVE-2016-3764
  • अल्फा टीम, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के हाओ चेन और गुआंग गोंग: सीवीई-2016-3792, सीवीई-2016-3768
  • सुरक्षा अनुसंधान प्रयोगशाला के हाओ किन, चीता मोबाइल : सीवीई-2016-3754, सीवीई-2016-3766
  • जियानकियांग झाओ ( @jianqiangzhao ) और pjf ( weibo.com/jfpan ) IceSword लैब, Qihoo 360 Technology Co. Ltd : CVE-2016-3814, CVE-2016-3802, CVE-2016-3769, CVE-2016-3807, सीवीई-2016-3808
  • Google के मार्को नेलिसन: CVE-2016-3818
  • Google प्रोजेक्ट ज़ीरो का मार्क ब्रांड: CVE-2016-3757
  • माइकल बेडनार्स्की: सीवीई-2016-3750
  • मिंगजियान झोउ ( @Mingjian_Zhou ), चियाचिह वू ( @chiachih_wu ), और C0RE टीम के जुक्सियन जियांग: CVE-2016-3747, CVE-2016-3746, CVE-2016-3765
  • अलीबाबा मोबाइल सिक्योरिटी ग्रुप के पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग और यांग सोंग: CVE-2016-3800, CVE-2016-3799, CVE-2016-3801, CVE-2016-3812, CVE-2016-3798
  • ट्रेंड माइक्रो के पीटर पाई ( @heisecode ): CVE-2016-3793
  • Google के रिकी वाई: CVE-2016-3749
  • रोलैंड क्रैक: सीवीई-2016-3753
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2016-3797, CVE-2016-3813, CVE-2016-3815, CVE-2016-2501, CVE-2016-2502
  • वसीली वासिलिव: सीवीई-2016-2507
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2016-2508, CVE-2016-3755
  • कीनलैब ( @keen_lab ) के वेन नीयू ( @NWMonster ), Tencent: CVE-2016-3809
  • Tencent सुरक्षा प्लेटफ़ॉर्म विभाग का ज़िलिंग गोंग: CVE-2016-3745
  • टीसीए लैब के याकोंग गु, सॉफ्टवेयर संस्थान, चीनी विज्ञान अकादमी: सीवीई-2016-3761
  • Xuanwu LAB के योंगके वांग ( @Rudykewang ), Tencent: CVE-2016-2505
  • योंगके वांग ( @Rudykewang ) और वेई वेई ( @Danny__Wei ) Xuanwu LAB, Tencent: CVE-2016-2506
  • Baidu X-Lab के यूलोंग झांग और ताओ (लेनक्स) वेई: CVE-2016-3744

2016-07-01 सुरक्षा पैच स्तर—सुरक्षा भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-07-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

Mediaserver में रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है। Mediaserver प्रक्रिया में ऑडियो और वीडियो स्ट्रीम तक पहुंच है, साथ ही उन विशेषाधिकारों तक पहुंच है जो तृतीय-पक्ष ऐप्स सामान्य रूप से एक्सेस नहीं कर सकते हैं।

प्रभावित कार्यक्षमता ऑपरेटिंग सिस्टम के मुख्य भाग के रूप में प्रदान की जाती है और ऐसे कई अनुप्रयोग हैं जो इसे दूरस्थ सामग्री, विशेष रूप से एमएमएस और मीडिया के ब्राउज़र प्लेबैक के साथ पहुंचने की अनुमति देते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2506 ए-28175045 नाजुक सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 11, 2016
सीवीई-2016-2505 ए-28333006 नाजुक सभी नेक्सस 6.0, 6.0.1 अप्रैल 21, 2016
सीवीई-2016-2507 ए-28532266 नाजुक सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 2 मई 2016
सीवीई-2016-2508 ए-28799341 [ 2 ] नाजुक सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 16 मई 2016
सीवीई-2016-3741 ए-28165661 [ 2 ] नाजुक सभी नेक्सस 6.0, 6.0.1 गूगल आंतरिक
सीवीई-2016-3742 ए-2816565659 नाजुक सभी नेक्सस 6.0, 6.0.1 गूगल आंतरिक
सीवीई-2016-3743 ए-27907656 नाजुक सभी नेक्सस 6.0, 6.0.1 गूगल आंतरिक

ओपनएसएसएल और बोरिंगएसएसएल में रिमोट कोड निष्पादन भेद्यता

ओपनएसएसएल और बोरिंगएसएसएल में एक रिमोट कोड निष्पादन भेद्यता फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। किसी प्रभावित प्रक्रिया के संदर्भ में रिमोट कोड के निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2108 ए-28175332 नाजुक सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 3 मई 2016

ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता

ब्लूटूथ में रिमोट कोड निष्पादन भेद्यता एक समीपस्थ हमलावर को युग्मन प्रक्रिया के दौरान मनमाना कोड निष्पादित करने की अनुमति दे सकती है। ब्लूटूथ डिवाइस के इनिशियलाइज़ेशन के दौरान रिमोट कोड के निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3744 ए-27930580 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 30, 2016

libpng . में विशेषाधिकार भेद्यता का उन्नयन

libpng में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3751 ए-23265085 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसम्बर 3, 2015

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन

Mediaserver में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक उन्नत सिस्टम एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जैसे कि सिग्नेचर या सिग्नेचरऑरसिस्टम अनुमति विशेषाधिकार, जो किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3745 ए-28173666 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 10, 2016
सीवीई-2016-3746 ए-27890802 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 27, 2016
सीवीई-2016-3747 ए-27903498 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 28, 2016

सॉकेट्स में विशेषाधिकार भेद्यता का उन्नयन

सॉकेट में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तर के बाहर सिस्टम कॉल तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि यह प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3748 ए-28171804 उच्च सभी नेक्सस 6.0, 6.0.1 अप्रैल 13, 2016

LockSettingsService में विशेषाधिकार भेद्यता का उन्नयन

LockSettingsService में विशेषाधिकार भेद्यता का उन्नयन एक दुर्भावनापूर्ण एप्लिकेशन को उपयोगकर्ता से प्राधिकरण के बिना स्क्रीन लॉक पासवर्ड रीसेट करने में सक्षम कर सकता है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि यह किसी भी डेवलपर या सुरक्षा सेटिंग्स संशोधनों के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3749 ए-28163930 उच्च सभी नेक्सस 6.0, 6.0.1 गूगल आंतरिक

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन

पार्सल फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जिस पर एप्लिकेशन की पहुंच नहीं है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3750 ए-28395952 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 दिसंबर 16, 2015

चयनकर्ता लक्ष्य सेवा में विशेषाधिकार भेद्यता का उन्नयन

चयनकर्ता लक्ष्य सेवा में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को किसी अन्य एप्लिकेशन के संदर्भ में कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के किसी अन्य एप्लिकेशन से संबंधित गतिविधियों तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3752 ए-28384423 उच्च सभी नेक्सस 6.0, 6.0.1 गूगल आंतरिक

Mediaserver में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक दूरस्थ हमलावर को संरक्षित डेटा तक पहुंचने में सक्षम कर सकती है जो सामान्य रूप से केवल स्थानीय रूप से इंस्टॉल किए गए ऐप्स तक पहुंच योग्य है जो अनुमति का अनुरोध करते हैं। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3753 ए-27210135 उच्च कोई भी नहीं* 4.4.4 फरवरी 15, 2016

* समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, वे इस भेद्यता से प्रभावित नहीं होते हैं।

ओपनएसएसएल में सूचना प्रकटीकरण भेद्यता

ओपनएसएसएल में एक सूचना प्रकटीकरण भेद्यता एक दूरस्थ हमलावर को संरक्षित डेटा तक पहुंचने में सक्षम कर सकती है जो सामान्य रूप से केवल स्थानीय रूप से इंस्टॉल किए गए ऐप्स तक पहुंच योग्य है जो अनुमति का अनुरोध करते हैं। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-2107 ए-28550804 उच्च कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1 13 अप्रैल 2016

* समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, वे इस भेद्यता से प्रभावित नहीं होते हैं।

Mediaserver में सेवा भेद्यता से इनकार

Mediaserver में सेवा सुरक्षाछिद्र का इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए सक्षम कर सकता है जिससे डिवाइस हैंग या रीबूट हो सके। सेवा के अस्थायी दूरस्थ इनकार की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3754 ए-28615448 [ 2 ] उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 मई 2016
सीवीई-2016-3755 ए-28470138 उच्च सभी नेक्सस 6.0, 6.0.1 अप्रैल 29, 2016
सीवीई-2016-3756 ए-28556125 उच्च सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

libc . में सेवा भेद्यता से इनकार

libc में सेवा सुरक्षाछिद्र की अस्वीकृति एक हमलावर को डिवाइस को हैंग या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3818 ए-28740702 [ 2 ] उच्च कोई भी नहीं* 4.4.4 गूगल आंतरिक

* समर्थित नेक्सस डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, वे इस भेद्यता से प्रभावित नहीं होते हैं।

lsof . में विशेषाधिकार भेद्यता का उन्नयन

lsof में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमाना कोड निष्पादित करने में सक्षम कर सकता है जिससे स्थायी डिवाइस समझौता हो सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए असामान्य मैन्युअल चरणों की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3757 ए-28175237 संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 11, 2016

DexClassLoader में विशेषाधिकार भेद्यता का उन्नयन

DexClassLoader में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसके लिए असामान्य मैन्युअल चरणों की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3758 ए-27840771 संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन

फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को बैकअप अनुमतियों का अनुरोध करने और सभी बैकअप डेटा को बाधित करने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसे ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने के लिए विशिष्ट अनुमतियों की आवश्यकता होती है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3759 ए-28406080 संतुलित सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 गूगल आंतरिक

ब्लूटूथ में विशेषाधिकार भेद्यता का उन्नयन

ब्लूटूथ घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय हमलावर को एक प्रमाणित ब्लूटूथ डिवाइस जोड़ने में सक्षम कर सकता है जो प्राथमिक उपयोगकर्ता के लिए बनी रहती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3760 ए-27410683 [ 2 ] [ 3 ] संतुलित सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 फरवरी 29, 2016

एनएफसी में विशेषाधिकार भेद्यता का उन्नयन

एनएफसी में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण पृष्ठभूमि एप्लिकेशन को अग्रभूमि एप्लिकेशन से जानकारी तक पहुंचने में सक्षम कर सकता है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना उन्नत क्षमताओं को प्राप्त करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3761 ए-28300969 संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 20, 2016

सॉकेट्स में विशेषाधिकार भेद्यता का उन्नयन

सॉकेट्स में विशेषाधिकार भेद्यता की वृद्धि एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कुछ असामान्य सॉकेट प्रकारों तक पहुंच प्राप्त करने में सक्षम कर सकती है जो संभवतः कर्नेल के संदर्भ में मनमाने ढंग से कोड निष्पादन की ओर ले जाती है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि यह प्लेटफॉर्म का शोषण करने वाले हमलावरों की कठिनाई को बढ़ाने के लिए सुरक्षा उपायों के बाईपास की अनुमति दे सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3762 ए-28612709 संतुलित सभी नेक्सस 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 21, 2016

प्रॉक्सी ऑटो-कॉन्फ़िगरेशन में सूचना प्रकटीकरण भेद्यता

प्रॉक्सी ऑटो-कॉन्फ़िगरेशन घटक में एक सूचना प्रकटीकरण भेद्यता किसी एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मध्यम दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3763 ए-27593919 संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 मार्च 10, 2016

Mediaserver में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा एक्सेस करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3764 ए-28377502 संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 25, 2016
सीवीई-2016-3765 ए-28168413 संतुलित सभी नेक्सस 6.0, 6.0.1 अप्रैल 8, 2016

Mediaserver में सेवा भेद्यता से इनकार

Mediaserver में सेवा सुरक्षाछिद्र का इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए सक्षम कर सकता है जिससे डिवाइस हैंग या रीबूट हो सके। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को मॉडरेट के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-3766 ए-2847126 [ 2 ] संतुलित सभी नेक्सस 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 अप्रैल 29, 2016

2016-07-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2016-07-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अद्यतन नेक्सस डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2503 ए-28084795* क्यूसी-सीआर1006067 नाजुक Nexus 5X, Nexus 6P अप्रैल 5, 2016
सीवीई-2016-2067 ए-28305757 क्यूसी-सीआर988993 नाजुक Nexus 5X, Nexus 6, Nexus 6P अप्रैल 20, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3767 ए-28169363*
एम-एएलपीएस02689526
नाजुक एंड्रॉयड वन अप्रैल 6, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम प्रदर्शन घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3768 ए-28172137* क्यूसी-सीआर1010644 नाजुक Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) अप्रैल 9, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3769 ए-28376656*
एन-सीवीई20163769
नाजुक नेक्सस 9 अप्रैल 18, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक ड्राइवरों में विशेषाधिकार भेद्यता का उन्नयन (डिवाइस विशिष्ट)

कई मीडियाटेक ड्राइवरों में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3770 ए-28346752*
एम-एएलपीएस02703102
नाजुक एंड्रॉयड वन अप्रैल 22, 2016
सीवीई-2016-3771 ए-29007611*
एम-एएलपीएस02703102
नाजुक एंड्रॉयड वन अप्रैल 22, 2016
सीवीई-2016-3772 ए-29008188*
एम-एएलपीएस02703102
नाजुक एंड्रॉयड वन अप्रैल 22, 2016
सीवीई-2016-3773 ए-29008363*
एम-एएलपीएस02703102
नाजुक एंड्रॉयड वन अप्रैल 22, 2016
सीवीई-2016-3774 ए-29008609*
एम-एएलपीएस02703102
नाजुक एंड्रॉयड वन अप्रैल 22, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3775 ए-28588279* नाजुक Nexus 5X, Nexus 6, Nexus 6P और Nexus प्लेयर, Pixel C 4 मई 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

USB ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

USB ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर गंभीरता के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2015-8816 ए-28712303* नाजुक Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C 4 मई 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम घटकों में विशेषाधिकार भेद्यता का उन्नयन

नीचे दी गई तालिका में बूटलोडर, कैमरा ड्राइवर, कैरेक्टर ड्राइवर, नेटवर्किंग, साउंड ड्राइवर और वीडियो ड्राइवर सहित क्वालकॉम घटकों को प्रभावित करने वाली सुरक्षा कमजोरियां हैं।

इन मुद्दों में से सबसे गंभीर को मनमाने कोड निष्पादन की संभावना के कारण गंभीर के रूप में दर्जा दिया गया है, जिससे स्थानीय स्थायी डिवाइस समझौता की संभावना हो सकती है, जिसके लिए डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता* अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2014-9795 ए-28820720
क्यूसी-सीआर681957 [ 2 ]
नाजुक नेक्सस 5 अगस्त 8, 2014
सीवीई-2014-9794 ए-28821172
क्यूसी-सीआर646385
नाजुक नेक्सस 7 (2013) अगस्त 8, 2014
सीवीई-2015-8892 ए-28822807
क्यूसी-सीआर902998
नाजुक Nexus 5X, Nexus 6P दिसंबर 30, 2015
सीवीई-2014-9781 ए-28410333
क्यूसी-सीआर556471
उच्च नेक्सस 7 (2013) फ़रवरी 6, 2014
सीवीई-2014-9786 ए-28557260
क्यूसी-सीआर545979
उच्च नेक्सस 5, नेक्सस 7 (2013) मार्च 13, 2014
सीवीई-2014-9788 ए-28573112
क्यूसी-सीआर548872
उच्च नेक्सस 5 मार्च 13, 2014
सीवीई-2014-9779 ए-28598347
क्यूसी-सीआर548679
उच्च नेक्सस 5 मार्च 13, 2014
सीवीई-2014-9780 ए-28602014
क्यूसी-सीआर542222
उच्च Nexus 5, Nexus 5X, Nexus 6P मार्च 13, 2014
सीवीई-2014-9789 ए-28749392
क्यूसी-सीआर556425
उच्च नेक्सस 5 मार्च 13, 2014
सीवीई-2014-9793 ए-28821253
क्यूसी-सीआर580567
उच्च नेक्सस 7 (2013) मार्च 13, 2014
सीवीई-2014-9782 ए-28431531
क्यूसी-सीआर51349
उच्च नेक्सस 5, नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9783 ए-28441831
क्यूसी-सीआर51382 [ 2 ]
उच्च नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9785 ए-28469042
क्यूसी-सीआर545747
उच्च नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9787 ए-28571496
क्यूसी-सीआर545764
उच्च नेक्सस 7 (2013) मार्च 31, 2014
सीवीई-2014-9784 ए-28442449
क्यूसी-सीआर585147
उच्च नेक्सस 5, नेक्सस 7 (2013) अप्रैल 30, 2014
सीवीई-2014-9777 ए-28598501
क्यूसी-सीआर563654
उच्च नेक्सस 5, नेक्सस 7 (2013) अप्रैल 30, 2014
सीवीई-2014-9778 ए-28598515
क्यूसी-सीआर563694
उच्च नेक्सस 5, नेक्सस 7 (2013) अप्रैल 30, 2014
सीवीई-2014-9790 ए-28769136
क्यूसी-सीआर545716 [ 2 ]
उच्च नेक्सस 5, नेक्सस 7 (2013) अप्रैल 30, 2014
सीवीई-2014-9792 ए-28769399
क्यूसी-सीआर550606
उच्च नेक्सस 5 अप्रैल 30, 2014
सीवीई-2014-9797 ए-28821090
क्यूसी-सीआर674071
उच्च नेक्सस 5 जुलाई 3, 2014
सीवीई-2014-9791 ए-28803396
क्यूसी-सीआर659364
उच्च नेक्सस 7 (2013) अगस्त 29, 2014
सीवीई-2014-9796 ए-28820722
क्यूसी-सीआर684756
उच्च नेक्सस 5, नेक्सस 7 (2013) सितम्बर 30, 2014
सीवीई-2014-9800 ए-28822150
क्यूसी-सीआर692478
उच्च नेक्सस 5, नेक्सस 7 (2013) 31 अक्टूबर 2014
सीवीई-2014-9799 ए-28821731
QC-CR691916
उच्च नेक्सस 5, नेक्सस 7 (2013) 31 अक्टूबर 2014
सीवीई-2014-9801 ए-28822060
क्यूसी-सीआर705078
उच्च नेक्सस 5 28 नवंबर 2014
सीवीई-2014-9802 ए-28821965
क्यूसी-सीआर705108
उच्च नेक्सस 5, नेक्सस 7 (2013) दिसंबर 31, 2014
सीवीई-2015-8891 ए-28842418
क्यूसी-सीआर813930
उच्च नेक्सस 5, नेक्सस 7 (2013) 29 मई 2015
सीवीई-2015-8888 ए-28822465
क्यूसी-सीआर813933
उच्च नेक्सस 5 जून 30, 2015
सीवीई-2015-8889 ए-28822677
क्यूसी-सीआर804067
उच्च नेक्सस 6पी जून 30, 2015
सीवीई-2015-8890 ए-28822878
क्यूसी-सीआर823461
उच्च नेक्सस 5, नेक्सस 7 (2013) अगस्त 19, 2015

* इन मुद्दों के लिए गंभीरता रेटिंग सीधे क्वालकॉम द्वारा प्रदान की जाती है।

क्वालकॉम यूएसबी ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम यूएसबी ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2502 ए-27657963 क्यूसी-सीआर997044 उच्च Nexus 5X, Nexus 6P 11 मार्च 2016

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3792 ए-27725204 क्यूसी-सीआर561022 उच्च नेक्सस 7 (2013) मार्च 17, 2016

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-2501 ए-27890772* क्यूसी-सीआर1001092 उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013) मार्च 27, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3793 ए-28026625*
एन-सीवीई20163793
उच्च नेक्सस 9 अप्रैल 5, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक पावर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक पावर ड्राइवर में विशेषाधिकार का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3795 ए-28885222*
एम-एएलपीएस02677244
उच्च एंड्रॉयड वन अप्रैल 7, 2016
सीवीई-2016-3796 ए-29008443*
एम-एएलपीएस02677244
उच्च एंड्रॉयड वन अप्रैल 7, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3797 ए-28085680* क्यूसी-सीआर1001450 उच्च नेक्सस 5X अप्रैल 7, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक हार्डवेयर सेंसर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक हार्डवेयर सेंसर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3798 ए-28174490*
एम-ALPS02703105
उच्च एंड्रॉयड वन अप्रैल 11, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3799 ए-28175025*
एम-एएलपीएस02693738
उच्च एंड्रॉयड वन अप्रैल 11, 2016
सीवीई-2016-3800 ए-28175027*
एम-एएलपीएस02693739
उच्च एंड्रॉयड वन अप्रैल 11, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक जीपीएस ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक जीपीएस ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Nexus डिवाइस तारीख की सूचना दी
सीवीई-2016-3801 ए-28174914*
एम-एएलपीएस02688853
उच्च एंड्रॉयड वन अप्रैल 11, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। This issue is rated as High because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3802 A-28271368* उच्च Nexus 9 Apr 19, 2016
CVE-2016-3803 A-28588434* उच्च Nexus 5X, Nexus 6P May 4, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek power management driver

An elevation of privilege in the MediaTek power management driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3804 A-28332766*
M-ALPS02694410
उच्च Android One Apr 20, 2016
CVE-2016-3805 A-28333002*
M-ALPS02694412
उच्च Android One Apr 21, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in MediaTek display driver

An elevation of privilege vulnerability in the MediaTek display driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3806 A-28402341*
M-ALPS02715341
उच्च Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in serial peripheral interface driver

An elevation of privilege vulnerability in the serial peripheral interface driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3807 A-28402196* उच्च Nexus 5X, Nexus 6P Apr 26, 2016
CVE-2016-3808 A-28430009* उच्च Pixel C Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in Qualcomm sound driver

An elevation of privilege vulnerability in the Qualcomm sound driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High severity because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-2068 A-28470967 QC-CR1006609 उच्च Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 28, 2016

Elevation of privilege vulnerability in kernel

An elevation of privilege vulnerability in the kernel could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as High because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2014-9803 A-28557020
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6P Google internal

Information disclosure vulnerability in networking component

An information disclosure vulnerability in the networking component could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3809 A-27532522* उच्च All Nexus Mar 5, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek Wi-Fi driver

An information disclosure vulnerability in the MediaTek Wi-Fi driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as High because it could be used to access sensitive data without explicit user permission.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3810 A-28175522*
M-ALPS02694389
उच्च Android One Apr 12, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Elevation of privilege vulnerability in kernel video driver

An elevation of privilege vulnerability in the kernel video driver could enable a local malicious application to execute arbitrary code within the context of the kernel. This issue is rated as Moderate because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3811 A-28447556* संतुलित Nexus 9 Google internal

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek video codec driver

An information disclosure vulnerability in the MediaTek video codec driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3812 A-28174833*
M-ALPS02688832
संतुलित Android One Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in Qualcomm USB driver

An information disclosure vulnerability in the Qualcomm USB driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3813 A-28172322* QC-CR1010222 संतुलित Nexus 5, Nexus 5X, Nexus 6, Nexus 6P Apr 11, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in NVIDIA camera driver

An information disclosure vulnerability in the NVIDIA camera driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3814 A-28193342*
N-CVE20163814
संतुलित Nexus 9 Apr 14, 2016
CVE-2016-3815 A-28522274*
N-CVE20163815
संतुलित Nexus 9 May 1, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in MediaTek display driver

An information disclosure vulnerability in the MediaTek display driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-3816 A-28402240* संतुलित Android One Apr 26, 2016

* The patch for this issue is not publicly available. The update is contained in the latest binary drivers for Nexus devices available from the Google Developer site .

Information disclosure vulnerability in kernel teletype driver

An information disclosure vulnerability in the teletype driver could enable a local malicious application to access data outside of its permission levels. This issue is rated as Moderate because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2016-0723 A-28409131
अपस्ट्रीम कर्नेल
संतुलित Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Nexus Player, Pixel C Apr 26, 2016

Denial of service vulnerability in Qualcomm bootloader

A denial of service vulnerability in the Qualcomm bootloader could enable a local malicious application to cause a local permanent device compromise, which may require reflashing the operating system to repair the device. This issue is rated as Moderate because it first requires compromising a privileged process.

सीवीई संदर्भ तीव्रता Updated Nexus devices Date reported
CVE-2014-9798 A-28821448 QC-CR681965 संतुलित Nexus 5 Oct 31, 2014
CVE-2015-8893 A-28822690 QC-CR822275 संतुलित Nexus 5, Nexus 7 (2013) Aug 19, 2015

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

Security Patch Levels of 2016-07-01 or later address all issues associated with the 2016-7-01 security patch string level. Security Patch Levels of 2016-07-05 or later address all issues associated with the 2016-07-05 security patch string level. Refer to the help center for instructions on how to check the security patch level. Device manufacturers that include these updates should set the patch string level to: [ro.build.version.security_patch]:[2016-07-01] or [ro.build.version.security_patch]:[2016-07-05].

2. Why does this bulletin have two security patch level strings?

This bulletin has two security patch level strings in order to provide Android partners with the flexibility to move more quickly to fix a subset of vulnerabilities that are similar across all Android devices. Android partners are encouraged to fix all issues in this bulletin and use the latest security patch level string.

Devices that use the security patch level of July 5, 2016 or newer must include all applicable patches in this (and previous) security bulletins.

Devices that use the July 1, 2016 security patch level must include all issues associated with that security patch level, as well as fixes for all issues reported in previous security bulletins. Devices that use July 1, 2016 security patch level may also include a subset of fixes associated with the July 5, 2016 security patch level.

3. How do I determine which Nexus devices are affected by each issue?

In the 2016-07-01 and 2016-07-05 security vulnerability details sections, each table has an Updated Nexus devices column that covers the range of affected Nexus devices updated for each issue. This column has a few options:

  • All Nexus devices : If an issue affects all Nexus devices, the table will have “All Nexus” in the Updated Nexus devices column. “All Nexus” encapsulates the following supported devices : Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, and Pixel C.
  • Some Nexus devices : If an issue doesn't affect all Nexus devices, the affected Nexus devices are listed in the Updated Nexus devices column.
  • No Nexus devices : If no Nexus devices are affected by the issue, the table will have “None” in the Updated Nexus devices column.

4. What do the entries in the references column map to?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। These prefixes map as follows:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या

Revisions

  • July 06, 2016: Bulletin published.
  • July 07, 2016:
    • Added AOSP links.
    • Removed CVE-2016-3794 because it is a duplicate of CVE-2016-3814
    • Added attribution for CVE-2016-2501 and CVE-2016-2502
  • July 11, 2016: Updated attribution for CVE-2016-3750
  • July 14, 2016: Updated attribution for CVE-2016-2503
  • April 1, 2019: Updated patch links for CVE-2016-3818