एंड्रॉइड सुरक्षा बुलेटिन-जून 2017

5 जून 2017 को प्रकाशित | 17 अगस्त 2017 को अपडेट किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। 05 जून, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को कम से कम एक महीने पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए जाएंगे और इस बुलेटिन से लिंक किए जाएंगे। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इनमें से सबसे गंभीर समस्या मीडिया फ्रेमवर्क में एक महत्वपूर्ण सुरक्षा भेद्यता है जो मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट के विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर छवियों की जानकारी Google डिवाइस अपडेट अनुभाग में उपलब्ध है।

घोषणाएं

  • हमने मासिक सुरक्षा बुलेटिन को पढ़ने में आसान बनाने के लिए इसे सुव्यवस्थित किया है। इस अद्यतन के भाग के रूप में, भेद्यता जानकारी को प्रभावित घटक द्वारा वर्गीकृत किया जाता है, सुरक्षा पैच स्तर के भीतर घटक नाम के अनुसार क्रमबद्ध किया जाता है, और Google डिवाइस-विशिष्ट जानकारी को एक समर्पित अनुभाग में होस्ट किया जाता है।
  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-06-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-06-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-06-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-06-01 और 2017-06-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।

एंड्रॉइड और गूगल प्ले प्रोटेक्ट शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और Google Play प्रोटेक्ट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play प्रोटेक्ट के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2017-06-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-06-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करती हैं। इसमें समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

ब्लूटूथ

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण ऐप को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0645 ए-35385327 ईओपी मध्यम 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0646 ए-33899337 पहचान मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

पुस्तकालय

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2015-8871 ए-35443562 * आरसीई उच्च 5.0.2, 5.1.1, 6.0, 6.0.1
सीवीई-2016-8332 ए-37761553 * आरसीई उच्च 5.0.2, 5.1.1, 6.0, 6.0.1
सीवीई-2016-5131 ए-36554209 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2016-4658 ए-36554207 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0663 ए-37104170 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-7376 ए-36555370 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-5056 ए-36809819 आरसीई मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-7375 ए-36556310 आरसीई मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0647 ए-36392138 पहचान मध्यम 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2016-1839 ए-36553781 करने योग्य मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

मीडिया ढाँचा

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0637 ए-34064500 आरसीई गंभीर 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0391 ए-32322258 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0640 ए-33129467 * करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1
सीवीई-2017-0641 ए-34360591 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0642 ए-34819017 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0643 ए-35645051 * करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1
सीवीई-2017-0644 ए-35472997 * करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1

सिस्टम यूआई

इस अनुभाग में सबसे गंभीर भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0638 ए-36368305 आरसीई उच्च 7.1.1, 7.1.2

2017-06-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-06-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

कर्नेल घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण ऐप को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-0648 ए-36101220 * ईओपी उच्च FIQ डिबगर
सीवीई-2017-0651 ए-35644815 * पहचान कम आयन सबसिस्टम

पुस्तकालय

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को संवेदनशील जानकारी तक पहुंच प्राप्त करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2015-7995 ए-36810065 * पहचान मध्यम 4.4.4

मीडियाटेक घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण ऐप को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-0636 ए-35310230 *
एम-एएलपीएस03162263
ईओपी उच्च आदेश कतार ड्राइवर
सीवीई-2017-0649 ए-34468195 *
एम-एएलपीएस03162283
ईओपी मध्यम ध्वनि चालक

एनवीडिया घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण ऐप को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-6247 ए-34386301 *
एन-सीवीई-2017-6247
ईओपी उच्च ध्वनि चालक
सीवीई-2017-6248 ए-34372667 *
एन-सीवीई-2017-6248
ईओपी मध्यम ध्वनि चालक
सीवीई-2017-6249 ए-34373711 *
एन-सीवीई-2017-6249
ईओपी मध्यम ध्वनि चालक

क्वालकॉम घटक

इस अनुभाग में सबसे गंभीर भेद्यता निकटतम हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-7371 ए-36250786
क्यूसी-सीआर#1101054
आरसीई गंभीर ब्लूटूथ ड्राइवर
सीवीई-2017-7365 ए-32449913
क्यूसी-सीआर#1017009
ईओपी उच्च बूटलोडर
सीवीई-2017-7366 ए-36252171
क्यूसी-सीआर#1036161 [ 2 ]
ईओपी उच्च जीपीयू ड्राइवर
सीवीई-2017-7367 ए-34514708
क्यूसी-सीआर#1008421
करने योग्य उच्च बूटलोडर
सीवीई-2016-5861 ए-36251375
क्यूसी-सीआर#1103510
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2016-5864 ए-36251231
क्यूसी-सीआर#1105441
ईओपी मध्यम ध्वनि चालक
सीवीई-2017-6421 ए-36251986
क्यूसी-सीआर#1110563
ईओपी मध्यम एमस्टार टचस्क्रीन ड्राइवर
सीवीई-2017-7364 ए-36252179
क्यूसी-सीआर#1113926
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-7368 ए-33452365
क्यूसी-सीआर#1103085
ईओपी मध्यम ध्वनि चालक
सीवीई-2017-7369 ए-33751424
क्यूसी-सीआर#2009216 [ 2 ]
ईओपी मध्यम ध्वनि चालक
सीवीई-2017-7370 ए-34328139
क्यूसी-सीआर#2006159
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-7372 ए-36251497
क्यूसी-सीआर#1110068
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-7373 ए-36251984
क्यूसी-सीआर#1090244
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-8233 ए-34621613
क्यूसी-सीआर#2004036
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-8234 ए-36252121
क्यूसी-सीआर#832920
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-8235 ए-36252376
क्यूसी-सीआर#1083323
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-8236 ए-35047217
क्यूसी-सीआर#2009606
ईओपी मध्यम आईपीए ड्राइवर
सीवीई-2017-8237 ए-36252377
क्यूसी-सीआर#1110522
ईओपी मध्यम नेटवर्किंग ड्राइवर
सीवीई-2017-8242 ए-34327981
क्यूसी-सीआर#2009231
ईओपी मध्यम सुरक्षित निष्पादन पर्यावरण कम्युनिकेटर ड्राइवर
सीवीई-2017-8239 ए-36251230
क्यूसी-सीआर#1091603
पहचान मध्यम कैमरा ड्राइवर
सीवीई-2017-8240 ए-36251985
क्यूसी-सीआर#856379
पहचान मध्यम पिन नियंत्रक ड्राइवर
सीवीई-2017-8241 ए-34203184
क्यूसी-सीआर#1069175
पहचान कम वाई-फ़ाई ड्राइवर

सिनैप्टिक्स घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण ऐप को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-0650 ए-35472278 * ईओपी कम टचस्क्रीन ड्राइवर

क्वालकॉम बंद-स्रोत घटक

ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और 2014-2016 के क्वालकॉम एएमएसएस सुरक्षा बुलेटिन में आगे विस्तार से वर्णित हैं। उनके सुधारों को एंड्रॉइड सुरक्षा पैच स्तर के साथ जोड़ने के लिए उन्हें इस एंड्रॉइड सुरक्षा बुलेटिन में शामिल किया गया है। इन कमजोरियों का समाधान सीधे क्वालकॉम से उपलब्ध है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2014-9960 ए-37280308 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2014-9961 ए-37279724 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2014-9953 ए-36714770 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2014-9967 ए-37281466 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9026 ए-37277231 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9027 ए-37279124 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9008 ए-36384689 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9009 ए-36393600 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9010 ए-36393101 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9011 ए-36714882 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9024 ए-37265657 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9012 ए-36384691 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9013 ए-36393251 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9014 ए-36393750 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9015 ए-36714120 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2015-9029 ए-37276981 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10338 ए-37277738 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10336 ए-37278436 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10333 ए-37280574 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10341 ए-37281667 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10335 ए-37282802 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10340 ए-37280614 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10334 ए-37280664 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10339 ए-37280575 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10298 ए-36393252 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10299 ए-32577244 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2014-9954 ए-36388559 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9955 ए-36384686 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9956 ए-36389611 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9957 ए-36387564 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9958 ए-36384774 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9962 ए-37275888 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9963 ए-37276741 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9959 ए-36383694 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9964 ए-37280321 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9965 ए-37278233 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9966 ए-37282854 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9023 ए-37276138 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9020 ए-37276742 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9021 ए-37276743 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9025 ए-37276744 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9022 ए-37280226 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9028 ए-37277982 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9031 ए-37275889 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9032 ए-37279125 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9033 ए-37276139 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9030 ए-37282907 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10332 ए-37282801 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10337 ए-37280665 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10342 ए-37281763 * एन/ए उच्च बंद-स्रोत घटक

Google डिवाइस अपडेट

इस तालिका में नवीनतम ओवर-द-एयर अपडेट (ओटीए) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।

गूगल डिवाइस सुरक्षा पैच स्तर
पिक्सेल/पिक्सेल एक्सएल 05 जून 2017
नेक्सस 5X 05 जून 2017
नेक्सस 6 05 जून 2017
नेक्सस 6पी 05 जून 2017
नेक्सस 9 05 जून 2017
नेक्सस प्लेयर 05 जून 2017
पिक्सेल सी 05 जून 2017

यदि लागू हो तो Google डिवाइस अपडेट में इन सुरक्षा कमजोरियों के लिए पैच भी शामिल हैं:

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0639 ए-35310991 पहचान उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

सीवीई शोधकर्ताओं
सीवीई-2017-0643, सीवीई-2017-0641 ट्रेंड माइक्रो के एकुलर जू(徐健)।
सीवीई-2017-0645, सीवीई-2017-0639 एन हे ( @heeeeen4x ) और MS509Team के बो लियू
सीवीई-2017-0649 गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ
सीवीई-2017-0646 Tencent पीसी मैनेजर के गॉडझेंग (郑文选 - @VirtualSeekers )
सीवीई-2017-0636 शेलफिश ग्रिल टीम के जेक कोरिना ( @JakeCorina )।
सीवीई-2017-8233 जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, क्यूहू 360 के पीजेएफ
सीवीई-2017-7368 लुबो झांग ( zlbzlb815@163.com ), युआन-त्सुंग लो ( computernik@gmail.com ), और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-8242 टेस्ला की उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे )।
सीवीई-2017-0650 ओमर श्वार्ट्ज, अमीर कोहेन, डॉ. आसफ शबताई, और बेन गुरियन यूनिवर्सिटी साइबर लैब के डॉ. योसी ओरेन
सीवीई-2017-0648 एलेफ रिसर्च , एचसीएल टेक्नोलॉजीज के रोई हे ( @roeehay )।
सीवीई-2017-7369, सीवीई-2017-6249, सीवीई-2017-6247, सीवीई-2017-6248 ट्रेंडमाइक्रो के सेवनशेन ( @lingtongshen )।
सीवीई-2017-0642, सीवीई-2017-0637, सीवीई-2017-0638 वसीली वासिलिव
सीवीई-2017-0640 मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो के वीईओ ( @VYSEa )।
सीवीई-2017-8236 Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के ज़िलिंग गोंग
सीवीई-2017-0647 यांगकांग ( @dnpushme ) और Qex टीम के लियाडोंग, Qihoo 360
सीवीई-2017-7370 आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के योंगगैंग गुओ ( @guoygang )
सीवीई-2017-0651 युआन-त्सुंग लो ( computernik@gmail.com ) और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-8241 गूगल के जुबिन मिथ्रा

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।

  • 2017-06-01 या बाद के सुरक्षा पैच स्तर 2017-06-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2017-06-05 या बाद के सुरक्षा पैच स्तर 2017-06-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2017-06-01]
  • [ro.build.version.security_patch]:[2017-06-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 01 जून, 2017 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
  • जो डिवाइस 05 जून, 2017 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

3. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?

जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 5 जून 2017 बुलेटिन प्रकाशित.
1.1 7 जून 2017 एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
1.2 11 जुलाई 2017 सीवीई-2017-6249 को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
1.3 17 अगस्त 2017 संदर्भ संख्याओं को अद्यतन करने के लिए बुलेटिन को संशोधित किया गया।