5 जुलाई 2017 को प्रकाशित | 26 सितंबर, 2017 को अपडेट किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। 05 जुलाई 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को कम से कम एक महीने पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर छवियों की जानकारी Google डिवाइस अपडेट अनुभाग में उपलब्ध है।
घोषणाएं
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2017-07-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-07-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2017-07-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-07-01 और 2017-07-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
एंड्रॉइड और गूगल प्ले प्रोटेक्ट शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और Google Play प्रोटेक्ट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play प्रोटेक्ट के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।
2017-07-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-07-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करती हैं। इसमें समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
क्रम
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-3544 | ए-35784677 | आरसीई | मध्यम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
रूपरेखा
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0664 | ए-36491278 | ईओपी | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0665 | ए-36991414 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0666 | ए-37285689 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0667 | ए-37478824 | ईओपी | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0668 | ए-22011579 | पहचान | मध्यम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0669 | ए-34114752 | पहचान | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0670 | ए-36104177 | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
पुस्तकालय
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0671 | ए-34514762 * | आरसीई | उच्च | 4.4.4 |
| सीवीई-2016-2109 | ए-35443725 | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0672 | ए-34778578 | करने योग्य | उच्च | 7.0, 7.1.1, 7.1.2 |
मीडिया ढाँचा
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0540 | ए-33966031 | आरसीई | गंभीर | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0673 | ए-33974623 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0674 | ए-34231163 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0675 | ए-34779227 [ 2 ] | आरसीई | गंभीर | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0676 | ए-34896431 | आरसीई | गंभीर | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0677 | ए-36035074 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0678 | ए-36576151 | आरसीई | गंभीर | 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0679 | ए-36996978 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0680 | ए-37008096 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0681 | ए-37208566 | आरसीई | गंभीर | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0682 | ए-36588422 * | आरसीई | उच्च | 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0683 | ए-36591008 * | आरसीई | उच्च | 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0684 | ए-35421151 | ईओपी | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0685 | ए-34203195 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0686 | ए-34231231 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0688 | ए-35584425 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0689 | ए-36215950 | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0690 | ए-36592202 | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0691 | ए-36724453 | करने योग्य | उच्च | 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0692 | ए-36725407 | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0693 | ए-36993291 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0694 | ए-37093318 | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0695 | ए-37094889 | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0696 | ए-37207120 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0697 | ए-37239013 | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0698 | ए-35467458 | पहचान | मध्यम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0699 | ए-36490809 | पहचान | मध्यम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
सिस्टम यूआई
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0700 | ए-35639138 | आरसीई | उच्च | 7.1.1, 7.1.2 |
| सीवीई-2017-0701 | ए-36385715 [ 2 ] | आरसीई | उच्च | 7.1.1, 7.1.2 |
| सीवीई-2017-0702 | ए-36621442 | आरसीई | उच्च | 7.1.1, 7.1.2 |
| सीवीई-2017-0703 | ए-33123882 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0704 | ए-33059280 | ईओपी | मध्यम | 7.1.1, 7.1.2 |
2017-07-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-07-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
ब्रॉडकॉम घटक
इस अनुभाग में सबसे गंभीर भेद्यता निकटतम हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-9417 | ए-38041027 * बी-आरबी#123023 | आरसीई | गंभीर | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-0705 | ए-34973477 * बी-आरबी#119898 | ईओपी | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-0706 | ए-35195787 * बी-आरबी#120532 | ईओपी | मध्यम | वाई-फ़ाई ड्राइवर |
एचटीसी घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0707 | ए-36088467 * | ईओपी | मध्यम | एलईडी ड्राइवर |
| सीवीई-2017-0708 | ए-35384879 * | पहचान | मध्यम | ध्वनि चालक |
| सीवीई-2017-0709 | ए-35468048 * | पहचान | कम | सेंसर हब ड्राइवर |
कर्नेल घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-6074 | ए-35784697 अपस्ट्रीम कर्नेल | ईओपी | उच्च | नेटवर्किंग सबसिस्टम |
| सीवीई-2017-5970 | ए-35805460 अपस्ट्रीम कर्नेल | करने योग्य | उच्च | नेटवर्किंग सबसिस्टम |
| सीवीई-2015-5707 | ए-35841297 अपस्ट्रीम कर्नेल [ 2 ] | ईओपी | मध्यम | एससीएसआई चालक |
| सीवीई-2017-7308 | ए-36725304 अपस्ट्रीम कर्नेल [ 2 ] [ 3 ] | ईओपी | मध्यम | नेटवर्किंग ड्राइवर |
| सीवीई-2014-9731 | ए-35841292 अपस्ट्रीम कर्नेल | पहचान | मध्यम | फाइल सिस्टम |
मीडियाटेक घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0711 | ए-36099953 * एम-एएलपीएस03206781 | ईओपी | उच्च | नेटवर्किंग ड्राइवर |
एनवीडिया घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0340 | ए-33968204 * एन-सीवीई-2017-0340 | ईओपी | उच्च | Libnvparser |
| सीवीई-2017-0326 | ए-33718700 * एन-सीवीई-2017-0326 | पहचान | मध्यम | वीडियो ड्राइवर |
क्वालकॉम घटक
इस अनुभाग में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-8255 | ए-36251983 क्यूसी-सीआर#985205 | ईओपी | उच्च | बूटलोडर |
| सीवीई-2016-10389 | ए-34500449 क्यूसी-सीआर#1009145 | ईओपी | उच्च | बूटलोडर |
| सीवीई-2017-8253 | ए-35400552 क्यूसी-सीआर#1086764 | ईओपी | उच्च | कैमरा ड्राइवर |
| सीवीई-2017-8262 | ए-32938443 क्यूसी-सीआर#2029113 | ईओपी | उच्च | जीपीयू ड्राइवर |
| सीवीई-2017-8263 | ए-34126808 * क्यूसी-सीआर#1107034 | ईओपी | उच्च | अनाम साझा मेमोरी सबसिस्टम |
| सीवीई-2017-8267 | ए-34173755 * क्यूसी-सीआर#2001129 | ईओपी | उच्च | अनाम साझा मेमोरी सबसिस्टम |
| सीवीई-2017-8273 | ए-35400056 क्यूसी-सीआर#1094372 [ 2 ] | ईओपी | उच्च | बूटलोडर |
| सीवीई-2016-5863 | ए-36251182 क्यूसी-सीआर#1102936 | ईओपी | मध्यम | यूएसबी छिपाई ड्राइवर |
| सीवीई-2017-8243 | ए-34112490 * क्यूसी-सीआर#2001803 | ईओपी | मध्यम | SoC ड्राइवर |
| सीवीई-2017-8246 | ए-37275839 क्यूसी-सीआर#2008031 | ईओपी | मध्यम | ध्वनि चालक |
| सीवीई-2017-8256 | ए-37286701 क्यूसी-सीआर#1104565 | ईओपी | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-8257 | ए-37282763 क्यूसी-सीआर#2003129 | ईओपी | मध्यम | वीडियो ड्राइवर |
| सीवीई-2017-8259 | ए-34359487 क्यूसी-सीआर#2009016 | ईओपी | मध्यम | SoC ड्राइवर |
| सीवीई-2017-8260 | ए-34624155 क्यूसी-सीआर#2008469 | ईओपी | मध्यम | कैमरा ड्राइवर |
| सीवीई-2017-8261 | ए-35139833 * क्यूसी-सीआर#2013631 | ईओपी | मध्यम | कैमरा ड्राइवर |
| सीवीई-2017-8264 | ए-33299365 * क्यूसी-सीआर#1107702 | ईओपी | मध्यम | कैमरा ड्राइवर |
| सीवीई-2017-8265 | ए-32341313 क्यूसी-सीआर#1109755 | ईओपी | मध्यम | वीडियो ड्राइवर |
| सीवीई-2017-8266 | ए-33863407 क्यूसी-सीआर#1110924 | ईओपी | मध्यम | वीडियो ड्राइवर |
| सीवीई-2017-8268 | ए-34620535 * क्यूसी-सीआर#2002207 | ईओपी | मध्यम | कैमरा ड्राइवर |
| सीवीई-2017-8270 | ए-35468665 * क्यूसी-सीआर#2021363 | ईओपी | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-8271 | ए-35950388 * क्यूसी-सीआर#2028681 | ईओपी | मध्यम | वीडियो ड्राइवर |
| सीवीई-2017-8272 | ए-35950805 * क्यूसी-सीआर#2028702 | ईओपी | मध्यम | वीडियो ड्राइवर |
| सीवीई-2017-8254 | ए-36252027 क्यूसी-सीआर#832914 | पहचान | मध्यम | ध्वनि चालक |
| सीवीई-2017-8258 | ए-37279737 क्यूसी-सीआर#2005647 | पहचान | मध्यम | कैमरा ड्राइवर |
| सीवीई-2017-8269 | ए-33967002 * क्यूसी-सीआर#2013145 | पहचान | मध्यम | आईपीए चालक |
क्वालकॉम बंद-स्रोत घटक
ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और 2014-2016 में क्वालकॉम एएमएसएस सुरक्षा बुलेटिन में आगे विस्तार से वर्णित हैं। उनके सुधारों को एंड्रॉइड सुरक्षा पैच स्तर के साथ जोड़ने के लिए उन्हें इस एंड्रॉइड सुरक्षा बुलेटिन में शामिल किया गया है। इन कमजोरियों का समाधान सीधे क्वालकॉम से उपलब्ध है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2014-9411 | ए-37473054 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2014-9968 | ए-37304413 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2014-9973 | ए-37470982 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2014-9974 | ए-37471979 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2014-9975 | ए-37471230 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2014-9977 | ए-37471087 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2014-9978 | ए-37468982 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2014-9979 | ए-37471088 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2014-9980 | ए-37471029 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-0575 | ए-37296999 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-8592 | ए-37470090 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-8595 | ए-37472411 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-8596 | ए-37472806 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9034 | ए-37305706 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9035 | ए-37303626 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9036 | ए-37303519 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9037 | ए-37304366 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9038 | ए-37303027 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9039 | ए-37302628 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9040 | ए-37303625 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9041 | ए-37303518 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9042 | ए-37301248 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9043 | ए-37305954 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9044 | ए-37303520 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9045 | ए-37302136 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9046 | ए-37301486 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9047 | ए-37304367 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9048 | ए-37305707 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9049 | ए-37301488 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9050 | ए-37302137 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9051 | ए-37300737 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9052 | ए-37304217 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9053 | ए-37301249 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9054 | ए-37303177 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9055 | ए-37472412 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9060 | ए-37472807 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9061 | ए-37470436 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9062 | ए-37472808 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9067 | ए-37474000 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9068 | ए-37470144 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9069 | ए-37470777 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9070 | ए-37474001 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9071 | ए-37471819 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9072 | ए-37474002 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2015-9073 | ए-37473407 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-10343 | ए-32580186 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-10344 | ए-32583954 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-10346 | ए-37473408 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-10347 | ए-37471089 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-10382 | ए-28823584 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-10383 | ए-28822389 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-10388 | ए-32580294 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-10391 | ए-32583804 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-5871 | ए-37473055 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2016-5872 | ए-37472809 * | एन/ए | उच्च | बंद-स्रोत घटक |
Google डिवाइस अपडेट
इस तालिका में नवीनतम ओवर-द-एयर अपडेट (ओटीए) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।
| गूगल डिवाइस | सुरक्षा पैच स्तर |
|---|---|
| पिक्सेल/पिक्सेल एक्सएल | जुलाई 05, 2017 |
| नेक्सस 5X | जुलाई 05, 2017 |
| नेक्सस 6 | जुलाई 05, 2017 |
| नेक्सस 6पी | जुलाई 05, 2017 |
| नेक्सस 9 | जुलाई 05, 2017 |
| नेक्सस प्लेयर | जुलाई 05, 2017 |
| पिक्सेल सी | जुलाई 05, 2017 |
यदि लागू हो तो Google डिवाइस अपडेट में इन सुरक्षा कमजोरियों के लिए पैच भी शामिल हैं:
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0710 | ए-34951864 * | ईओपी | मध्यम | टीसीबी |
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
| सीवीई | शोधकर्ताओं |
|---|---|
| सीवीई-2017-8263 | गूगल के बिली लाउ |
| सीवीई-2017-0711 | अलीबाबा मोबाइल सिक्योरिटी ग्रुप के चेंगमिंग यांग, बाओज़ेंग डिंग और यांग सॉन्ग |
| सीवीई-2017-0681 | ची झांग , हानज़ियांग वेन , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-0706 | ज़ुआनवु लैब, टेनसेंट के डैक्सिंग गुओ ( @freener0 )। |
| सीवीई-2017-8260 | डेरेक ( @derrekr6 ) और स्कॉट बाउर |
| सीवीई-2017-8265 | कीनलैब ( @keen_lab ), टेनसेंट के डि शेन ( @returnsme )। |
| सीवीई-2017-0703 | दज़मित्री लुक्यानेंका |
| सीवीई-2017-0692, सीवीई-2017-0694 | अल्फ़ा टीम के एल्फ़ेट और गोंग गुआंग, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड। |
| सीवीई-2017-8266, सीवीई-2017-8243, सीवीई-2017-8270 | गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ । |
| सीवीई-2017-0665 | ची झांग , हानज़ियांग वेन , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-8268, सीवीई-2017-8261 | जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, क्यूहू 360 के पीजेएफ |
| सीवीई-2017-0698 | सेंसस कंसल्टिंग इंक के जॉय ब्रांड। |
| सीवीई-2017-0666, सीवीई-2017-0684 | मिंगजियन झोउ ( @Mingjian_Zhou ), ची झांग , और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-0697, सीवीई-2017-0670 | Niky1235 ( @jiych_guru ) |
| सीवीई-2017-9417 | एक्सोडस इंटेलिजेंस के निताय आर्टेंस्टीन |
| सीवीई-2017-0705, सीवीई-2017-8259 | स्कॉट बाउर |
| सीवीई-2017-0667 | सीएसएस इंक के टिमोथी बेकर। |
| सीवीई-2017-0682, सीवीई-2017-0683, सीवीई-2017-0676, सीवीई-2017-0696, सीवीई-2017-0675, सीवीई-2017-0701, सीवीई-2017-0702, सीवीई-2017-0699 | वसीली वासिलिव |
| सीवीई-2017-0695, सीवीई-2017-0689, सीवीई-2017-0540, सीवीई-2017-0680, सीवीई-2017-0679, सीवीई-2017-0685, सीवीई-2017-0686, सीवीई-2017-0693, सीवीई- 2017-0674, सीवीई-2017-0677 | मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो के वीईओ ( @VYSEa )। |
| सीवीई-2017-0708 | Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के ज़िलिंग गोंग |
| सीवीई-2017-0690 | यांगकांग ( @dnpushme ) और Qihoo 360 Qex टीम के लियाडोंग |
| सीवीई-2017-8269, सीवीई-2017-8271, सीवीई-2017-8272, सीवीई-2017-8267 | आइसस्वॉर्ड लैब, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के योंगगैंग गुओ ( @guoygang ) |
| सीवीई-2017-8264, सीवीई-2017-0326, सीवीई-2017-0709 | युआन-त्सुंग लो ( computernik@gmail.com ) और C0RE टीम के ज़ुक्सियान जियांग |
| सीवीई-2017-0704, सीवीई-2017-0669 | Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के युक्सियांग ली ( @Xbalien29 )। |
| सीवीई-2017-0710 | एंड्रॉइड सुरक्षा टीम के जैच रिगल ( @ebeip90 )। |
| सीवीई-2017-0678 | चेंगदू सिक्योरिटी रिस्पांस सेंटर, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान । |
| सीवीई-2017-0691, सीवीई-2017-0700 | चेंग्दू सिक्योरिटी रिस्पांस सेंटर के ज़िनुओ हान , किहू 360 टेक्नोलॉजी कंपनी लिमिटेड और पंगु टीम के एओ वांग ( @ArayzSegment ) |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।
- 2017-07-01 या बाद के सुरक्षा पैच स्तर 2017-07-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
- 2017-07-05 या बाद के सुरक्षा पैच स्तर 2017-07-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- जो डिवाइस 01 जुलाई, 2017 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
- जो डिवाइस 05 जुलाई, 2017 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।
3. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।
| संक्षेपाक्षर | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड निष्पादन |
| ईओपी | विशेषाधिकार का उन्नयन |
| पहचान | जानकारी प्रकटीकरण |
| करने योग्य | सेवा की मनाई |
| एन/ए | वर्गीकरण उपलब्ध नहीं है |
4. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?
जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।
संस्करणों
| संस्करण | तारीख | टिप्पणियाँ |
|---|---|---|
| 1.0 | 5 जुलाई 2017 | बुलेटिन प्रकाशित. |
| 1.1 | 6 जुलाई 2017 | एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया। |
| 1.2 | 11 जुलाई 2017 | स्वीकृतियों को अद्यतन करने के लिए बुलेटिन को संशोधित किया गया। |
| 1.3 | 17 अगस्त 2017 | संदर्भ संख्याओं को अद्यतन करने के लिए बुलेटिन को संशोधित किया गया। |
| 1.4 | 19 सितंबर 2017 | CVE-2017-0710 के लिए अद्यतन स्वीकृतियाँ। |
| 1.5 | 26 सितंबर 2017 | CVE-2017-0681 के लिए अद्यतन स्वीकृतियाँ। |