06 फरवरी 2017 को प्रकाशित | 8 फरवरी, 2017 को अपडेट किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट भी जारी किया है। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 फरवरी, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 03 जनवरी, 2017 या उससे पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाएं
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2017-02-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-02-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2017-02-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-02-01 और 2017-02-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित Google उपकरणों को 05 फरवरी, 2017 सुरक्षा पैच स्तर के साथ एक एकल OTA अपडेट प्राप्त होगा।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- डेनियल दखनो: सीवीई-2017-0420
- कॉपरहेड सुरक्षा के डैनियल मिके: CVE-2017-0410
- डज़मित्री लुक्यानेंका : सीवीई-2017-0414
- क्रोम के फ्रैंक लिबरेटो: CVE-2017-0409
- प्रोजेक्ट ज़ीरो की गैल बेनियामिनी: CVE-2017-0411, CVE-2017-0412
- गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : CVE-2017-0434, CVE-2017-0446, CVE-2017-0447, CVE-2017-0432
- अल्फा टीम के गुआंग गोंग (龚广) ( @oldfresher ), Qihoo 360 Technology Co.Ltd : CVE-2017-0415
- हानक्सियांग वेन , वेन्के डू , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0418
- अल्फा टीम के हाओ चेन और गुआंग गोंग, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016 -8421, सीवीई-2017-0441, सीवीई-2017-0442, सीवीई-2016-8476, सीवीई-2017-0443
- Google के जेफ़ शार्की: CVE-2017-0421, CVE-2017-0423
- जेफ ट्रिम: सीवीई-2017-0422
- जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के पीजेएफ , क्यूहू 360: सीवीई-2017-0445
- MA.la और LINE Corporation के निकोले एलेनकोव: CVE-2016-5552
- Google का मैक्स स्पेक्टर: CVE-2017-0416
- मिंगजियन झोउ ( @Mingjian_Zhou ), युकी लू ( @nikos233 ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0425
- कीडन हे (何淇丹) ( @flanker_hqd ) और डि शेन (申迪) ( @returnsme ) कीनलैब, टेनसेंट (腾讯科恩实验室): CVE-2017-0427
- आईबीएम एक्स-फोर्स रिसर्च के सागी केडमी: सीवीई-2017-0433
- स्कॉट बाउर ( @ScottyBauer1 ) और कॉपरहेड सिक्योरिटी के डैनियल मिके: CVE-2017-0405
- ट्रेंड माइक्रो मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2017-0449, CVE-2016-8418
- टोंग लिन , युआन-त्सुंग लो , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0436, CVE-2016-8481, CVE-2017-0435
- मोबाइल थ्रेट रिस्पांस टीम के वीईओ ( @VYSEa ), ट्रेंड माइक्रो : CVE-2017-0424
- अलीबाबा इंक. के वीचाओ सन ( @sunblate ): CVE-2017-0407
- वेन्के डू , हॉन्गली हान , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0450
- वेन्के डू , युकी लू ( @nikos233 ), मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0417
- एंट-फाइनेंशियल लाइट-ईयर सिक्योरिटी लैब के विश वू ( @wish_wu ) (吴潍浠此彼): CVE-2017-0408
- याओ जून , युआन-त्सुंग लो , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2016-8480
- युआन-त्सुंग लो , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0444
- युआन-त्सुंग लो , टोंग लिन , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0428
- युआन-त्सुंग लो , ज़ियाओडोंग वांग , चियाचिह वू ( @chiachih_wu ), और C0RE टीम के ज़ुक्सियान जियांग: CVE-2017-0448, CVE-2017-0429
- जेन झोउ ( @henices ) और एनएसफोकस के ज़िक्सिन ली : CVE-2017-0406
हम इस बुलेटिन में उनके योगदान के लिए निम्नलिखित को भी धन्यवाद देना चाहेंगे:
- पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), और Baidu एक्स-लैब (百度安全实验室) के लेनक्स वेई (韦韬)
2017-02-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-02-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
सरफेसफ्लिंगर में रिमोट कोड निष्पादन भेद्यता
सरफेसफ्लिंगर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। सरफेसफ्लिंगर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0405 | ए-31960359 | गंभीर | सभी | 7.0, 7.1.1 | 4 अक्टूबर 2016 |
मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता
मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0406 | ए-32915871 [ 2 ] | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 14 नवंबर 2016 |
| सीवीई-2017-0407 | ए-32873375 | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 12 नवंबर 2016 |
libgdx में रिमोट कोड निष्पादन भेद्यता
Libgdx में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0408 | ए-32769670 | उच्च | सभी | 7.1.1 | 9 नवंबर 2016 |
लिबस्टेजफ्राइट में रिमोट कोड निष्पादन भेद्यता
लिबस्टेजफ्राइट में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0409 | ए-31999646 | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | गूगल आंतरिक |
Java.Net में विशेषाधिकार भेद्यता का बढ़ना
Java.Net लाइब्रेरी में विशेषाधिकार का उन्नयन दुर्भावनापूर्ण वेब सामग्री को स्पष्ट अनुमति के बिना किसी उपयोगकर्ता को किसी अन्य वेबसाइट पर रीडायरेक्ट करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक दूरस्थ बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-5552 | ए-31858037 | उच्च | सभी | 7.0, 7.1.1 | सितम्बर 30, 2016 |
फ्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना
फ़्रेमवर्क एपीआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0410 | ए-31929765 | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 अक्टूबर 2016 |
| सीवीई-2017-0411 | ए-33042690 [ 2 ] | उच्च | सभी | 7.0, 7.1.1 | 21 नवंबर 2016 |
| सीवीई-2017-0412 | ए-33039926 [ 2 ] | उच्च | सभी | 7.0, 7.1.1 | 21 नवंबर 2016 |
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना
मीडियासर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0415 | ए-32706020 | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 4 नवंबर 2016 |
ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना
ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0416 | ए-32886609 [ 2 ] | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | गूगल आंतरिक |
| सीवीई-2017-0417 | ए-32705438 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर 2016 |
| सीवीई-2017-0418 | ए-32703959 [ 2 ] | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर 2016 |
| सीवीई-2017-0419 | ए-32220769 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 अक्टूबर 2016 |
AOSP मेल में सूचना प्रकटीकरण भेद्यता
AOSP मेल में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जिस तक एप्लिकेशन की पहुंच नहीं है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0420 | ए-32615212 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | सितम्बर 12, 2016 |
AOSP मैसेजिंग में सूचना प्रकटीकरण भेद्यता
एओएसपी मैसेजिंग में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जिस तक एप्लिकेशन की पहुंच नहीं है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0413 | ए-32161610 | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 13 अक्टूबर 2016 |
| सीवीई-2017-0414 | ए-32807795 | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 10 नवंबर 2016 |
फ्रेमवर्क एपीआई में सूचना प्रकटीकरण भेद्यता
फ़्रेमवर्क एपीआई में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उस डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है जिस तक एप्लिकेशन की पहुंच नहीं है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0421 | ए-32555637 | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | गूगल आंतरिक |
बायोनिक डीएनएस में सेवा भेद्यता का खंडन
बायोनिक डीएनएस में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार किए गए नेटवर्क पैकेट का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0422 | ए-32322088 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 अक्टूबर 2016 |
ब्लूटूथ में विशेषाधिकार भेद्यता का बढ़ना
ब्लूटूथ में विशेषाधिकार भेद्यता बढ़ने से निकटतम हमलावर डिवाइस पर दस्तावेज़ों तक पहुंच प्रबंधित करने में सक्षम हो सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए सबसे पहले ब्लूटूथ स्टैक में एक अलग भेद्यता के दोहन की आवश्यकता होती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0423 | ए-32612586 | मध्यम | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 नवंबर 2016 |
AOSP मैसेजिंग में सूचना प्रकटीकरण भेद्यता
एओएसपी मैसेजिंग में सूचना प्रकटीकरण भेद्यता एक दूरस्थ हमलावर को एक विशेष तैयार की गई फ़ाइल का उपयोग करके उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता स्तर की गहराई में रक्षा के लिए एक सामान्य बाईपास है या एक विशेषाधिकार प्राप्त प्रक्रिया में शमन तकनीक का फायदा उठाता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0424 | ए-32322450 | मध्यम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 20 अक्टूबर 2016 |
ऑडियोसर्वर में सूचना प्रकटीकरण भेद्यता
ऑडियोसर्वर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0425 | ए-32720785 | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर 2016 |
फ़ाइल सिस्टम में सूचना प्रकटीकरण भेद्यता
फ़ाइल सिस्टम में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0426 | ए-32799236 [ 2 ] | मध्यम | सभी | 7.0, 7.1.1 | गूगल आंतरिक |
2017-02-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-02-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
क्वालकॉम क्रिप्टो ड्राइवर में रिमोट कोड निष्पादन भेद्यता
क्वालकॉम क्रिप्टो ड्राइवर में एक रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8418 | ए-32652894 क्यूसी-सीआर#1077457 | गंभीर | कोई नहीं* | 10 अक्टूबर 2016 |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0427 | ए-31495866* | गंभीर | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | सितम्बर 13, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0428 | ए-32401526* एन-सीवीई-2017-0428 | गंभीर | नेक्सस 9 | 25 अक्टूबर 2016 |
| सीवीई-2017-0429 | ए-32636619* एन-सीवीई-2017-0429 | गंभीर | नेक्सस 9 | 3 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-9914 | ए-32882659 अपस्ट्रीम कर्नेल | गंभीर | नेक्सस 6, नेक्सस प्लेयर | 9 नवंबर 2016 |
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0430 | ए-32838767* बी-आरबी#107459 | गंभीर | नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम घटकों में कमजोरियाँ
निम्नलिखित भेद्यता क्वालकॉम घटकों को प्रभावित करती है और क्वालकॉम एएमएसएस सितंबर 2016 सुरक्षा बुलेटिन में आगे विस्तार से वर्णित है।
| सीवीई | संदर्भ | तीव्रता* | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0431 | ए-32573899** | गंभीर | कोई नहीं*** | क्वालकॉम आंतरिक |
* इन कमजोरियों की गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।
** इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
*** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
मीडियाटेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0432 | ए-28332719* एम-एएलपीएस02708925 | उच्च | कोई नहीं** | 21 अप्रैल 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को टचस्क्रीन चिपसेट के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0433 | ए-31913571* | उच्च | Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | सितम्बर 8, 2016 |
| सीवीई-2017-0434 | ए-33001936* | उच्च | पिक्सेल, पिक्सेल एक्सएल | 18 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम सिक्योर एक्ज़ीक्यूशन एनवायरनमेंट कम्युनिकेटर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम सिक्योर एक्ज़ीक्यूशन एनवायरनमेंट कम्युनिकेटर ड्राइव में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8480 | ए-31804432 क्यूसी-सीआर#1086186 [ 2 ] | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | सितम्बर 28, 2016 |
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8481 | ए-31906415* क्यूसी-सीआर#1078000 | उच्च | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1 अक्टूबर 2016 |
| सीवीई-2017-0435 | ए-31906657* क्यूसी-सीआर#1078000 | उच्च | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1 अक्टूबर 2016 |
| सीवीई-2017-0436 | ए-32624661* क्यूसी-सीआर#1078000 | उच्च | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0437 | ए-32402310 क्यूसी-सीआर#1092497 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 25 अक्टूबर 2016 |
| सीवीई-2017-0438 | ए-32402604 क्यूसी-सीआर#1092497 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 25 अक्टूबर 2016 |
| सीवीई-2017-0439 | ए-32450647 क्यूसी-सीआर#1092059 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 25 अक्टूबर 2016 |
| सीवीई-2016-8419 | ए-32454494 क्यूसी-सीआर#1087209 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 26 अक्टूबर 2016 |
| सीवीई-2016-8420 | ए-32451171 क्यूसी-सीआर#1087807 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 26 अक्टूबर 2016 |
| सीवीई-2016-8421 | ए-32451104 क्यूसी-सीआर#1087797 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 26 अक्टूबर 2016 |
| सीवीई-2017-0440 | ए-33252788 क्यूसी-सीआर#1095770 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 11 नवंबर 2016 |
| सीवीई-2017-0441 | ए-32872662 क्यूसी-सीआर#1095009 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 11 नवंबर 2016 |
| सीवीई-2017-0442 | ए-32871330 क्यूसी-सीआर#1092497 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 13 नवंबर 2016 |
| सीवीई-2017-0443 | ए-32877494 क्यूसी-सीआर#1092497 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 13 नवंबर 2016 |
| सीवीई-2016-8476 | ए-32879283 क्यूसी-सीआर#1091940 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 14 नवंबर 2016 |
रीयलटेक साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
रीयलटेक साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0444 | ए-32705232* | उच्च | नेक्सस 9 | 7 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
एचटीसी टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
एचटीसी टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0445 | ए-32769717* | उच्च | पिक्सेल, पिक्सेल एक्सएल | 9 नवंबर 2016 |
| सीवीई-2017-0446 | ए-32917445* | उच्च | पिक्सेल, पिक्सेल एक्सएल | 15 नवंबर 2016 |
| सीवीई-2017-0447 | ए-32919560* | उच्च | पिक्सेल, पिक्सेल एक्सएल | 15 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0448 | ए-32721029* एन-सीवीई-2017-0448 | उच्च | नेक्सस 9 | 7 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा इसे कम किया जाता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0449 | ए-31707909* बी-आरबी#32094 | मध्यम | नेक्सस 6, नेक्सस 6पी | सितम्बर 23, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना
ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसे वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा कम किया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0450 | ए-32917432* | मध्यम | नेक्सस 9 | 15 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सुरक्षा को बायपास करने में सक्षम कर सकता है जो विशेषाधिकारों में वृद्धि को रोकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह गहराई या शोषण शमन प्रौद्योगिकी में उपयोगकर्ता स्तर की रक्षा के लिए एक सामान्य बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-10044 | ए-31711619* | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus प्लेयर, Pixel, Pixel XL | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम सिक्योर एक्ज़ीक्यूशन एनवायरनमेंट कम्युनिकेटर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम सिक्योर एक्ज़ीक्यूशन एनवायरनमेंट कम्युनिकेटर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8414 | ए-31704078 क्यूसी-सीआर#1076407 | मध्यम | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | सितम्बर 23, 2016 |
क्वालकॉम साउंड ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0451 | ए-31796345 क्यूसी-सीआर#1073129 [ 2 ] | मध्यम | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | सितम्बर 27, 2016 |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।
- 2017-02-01 या बाद के सुरक्षा पैच स्तर 2017-02-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
- 2017-02-05 या बाद के सुरक्षा पैच स्तर 2017-02-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
-
[ro.build.version.security_patch]:[2017-02-01] -
[ro.build.version.security_patch]:[2017-02-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- जो डिवाइस 1 फरवरी, 2017 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
- जो डिवाइस 5 फरवरी, 2017 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।
3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?
2017-02-01 और 2017-02-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड Google डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी Google डिवाइस : यदि कोई समस्या सभी और पिक्सेल डिवाइसों को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "सभी" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel C, Pixel, और Pixel XL।
- कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
- कोई Google डिवाइस नहीं : यदि Android 7.0 पर चलने वाला कोई भी Google डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" होगा।
4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
संशोधन
- 06 फरवरी, 2017: बुलेटिन प्रकाशित।
- 08 फरवरी, 2017: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।