7 अगस्त 2017 को प्रकाशित | 23 अगस्त 2017 को अपडेट किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। 05 अगस्त, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को कम से कम एक महीने पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर छवियों की जानकारी Google डिवाइस अपडेट अनुभाग में उपलब्ध है।
घोषणाएं
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2017-08-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-08-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2017-08-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-08-01 और 2017-08-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
एंड्रॉइड और गूगल प्ले प्रोटेक्ट शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और Google Play प्रोटेक्ट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play प्रोटेक्ट के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।
2017-08-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-08-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करती हैं। इसमें समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
रूपरेखा
इस अनुभाग में सबसे गंभीर भेद्यता एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0712 | ए-37207928 | ईओपी | मध्यम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
पुस्तकालय
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0713 | ए-32096780 [ 2 ] | आरसीई | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
मीडिया ढाँचा
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0714 | ए-36492637 | आरसीई | गंभीर | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0715 | ए-36998372 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0716 | ए-37203196 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0718 | ए-37273547 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0719 | ए-37273673 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0720 | ए-37430213 | आरसीई | गंभीर | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0721 | ए-37561455 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0722 | ए-37660827 | आरसीई | गंभीर | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0723 | ए-37968755 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0745 | ए-37079296 | आरसीई | गंभीर | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0724 | ए-36819262 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0725 | ए-37627194 | करने योग्य | उच्च | 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0726 | ए-36389123 | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0727 | ए-33004354 | ईओपी | उच्च | 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0728 | ए-37469795 | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0729 | ए-37710346 | ईओपी | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0730 | ए-36279112 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0731 | ए-36075363 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0732 | ए-37504237 | ईओपी | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0733 | ए-38391487 | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0734 | ए-38014992 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0735 | ए-38239864 [ 2 ] | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0736 | ए-38487564 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0687 | ए-35583675 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0737 | ए-37563942 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0805 | ए-37237701 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0738 | ए-37563371 [ 2 ] | पहचान | मध्यम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0739 | ए-37712181 | पहचान | मध्यम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
2017-08-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-08-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
ब्रॉडकॉम घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0740 | ए-37168488 * बी-आरबी#116402 | आरसीई | मध्यम | नेटवर्किंग ड्राइवर |
कर्नेल घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-10661 | ए-36266767 अपस्ट्रीम कर्नेल | ईओपी | उच्च | फाइल सिस्टम |
| सीवीई-2017-0750 | ए-36817013 * | ईओपी | मध्यम | फाइल सिस्टम |
| सीवीई-2017-10662 | ए-36815012 अपस्ट्रीम कर्नेल | ईओपी | मध्यम | फाइल सिस्टम |
| सीवीई-2017-10663 | ए-36588520 अपस्ट्रीम कर्नेल | ईओपी | मध्यम | फाइल सिस्टम |
| सीवीई-2017-0749 | ए-36007735 * | ईओपी | मध्यम | लिनक्स कर्नेल |
मीडियाटेक घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0741 | ए-32458601 * एम-एएलपीएस03007523 | ईओपी | उच्च | जीपीयू ड्राइवर |
| सीवीई-2017-0742 | ए-36074857 * एम-एएलपीएस03275524 | ईओपी | मध्यम | वीडियो ड्राइवर |
क्वालकॉम घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0746 | ए-35467471 * क्यूसी-सीआर#2029392 | ईओपी | मध्यम | आईपीए ड्राइवर |
| सीवीई-2017-0747 | ए-32524214 * क्यूसी-सीआर#2044821 | ईओपी | मध्यम | मालिकाना घटक |
| सीवीई-2017-9678 | ए-35258962 * क्यूसी-सीआर#2028228 | ईओपी | मध्यम | वीडियो ड्राइवर |
| सीवीई-2017-9691 | ए-33842910 * क्यूसी-सीआर#1116560 | ईओपी | मध्यम | MobiCore ड्राइवर (ट्रुस्टोनिक) |
| सीवीई-2017-9684 | ए-35136547 * क्यूसी-सीआर#2037524 | ईओपी | मध्यम | यूएसबी ड्राइवर |
| सीवीई-2017-9682 | ए-36491445 * क्यूसी-सीआर#2030434 | पहचान | मध्यम | जीपीयू ड्राइवर |
Google डिवाइस अपडेट
इस तालिका में नवीनतम ओवर-द-एयर अपडेट (ओटीए) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।
| गूगल डिवाइस | सुरक्षा पैच स्तर |
|---|---|
| पिक्सेल/पिक्सेल एक्सएल | 05 अगस्त 2017 |
| नेक्सस 5X | 05 अगस्त 2017 |
| नेक्सस 6 | 05 अगस्त 2017 |
| नेक्सस 6पी | 05 अगस्त 2017 |
| नेक्सस 9 | 05 अगस्त 2017 |
| नेक्सस प्लेयर | 05 अगस्त 2017 |
| पिक्सेल सी | 05 अगस्त 2017 |
यदि लागू हो तो Google डिवाइस अपडेट में इन सुरक्षा कमजोरियों के लिए पैच भी शामिल हैं:
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0744 | ए-34112726 * एन-सीवीई-2017-0744 | ईओपी | कम | ध्वनि चालक |
| सीवीई-2017-9679 | ए-35644510 * क्यूसी-सीआर#2029409 | पहचान | कम | SoC ड्राइवर |
| सीवीई-2017-9680 | ए-35764241 * क्यूसी-सीआर#2030137 | पहचान | कम | SoC ड्राइवर |
| सीवीई-2017-0748 | ए-35764875 * क्यूसी-सीआर#2029798 | पहचान | कम | ऑडियो ड्राइवर |
| सीवीई-2017-9681 | ए-36386593 * क्यूसी-सीआर#2030426 | पहचान | कम | रेडियो चालक |
| सीवीई-2017-9693 | ए-36817798 * क्यूसी-सीआर#2044820 | पहचान | कम | नेटवर्किंग ड्राइवर |
| सीवीई-2017-9694 | ए-36818198 * क्यूसी-सीआर#2045470 | पहचान | कम | नेटवर्किंग ड्राइवर |
| सीवीई-2017-0751 | ए-36591162 * क्यूसी-सीआर#2045061 | ईओपी | कम | क्यूसीई ड्राइवर |
| सीवीई-2017-9692 | ए-36731152 * क्यूसी-सीआर#2021707 | करने योग्य | कम | रेखाचित्र बनाने वाला |
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
| सीवीई | शोधकर्ताओं |
|---|---|
| सीवीई-2017-0741, सीवीई-2017-0742, सीवीई-2017-0751 | बाओज़ेंग डिंग ( @sploving ), चेंगमिंग यांग, और अलीबाबा मोबाइल सिक्योरिटी ग्रुप के यांग सॉन्ग |
| सीवीई-2017-9682 | Android सुरक्षा के बिली लाउ |
| सीवीई-2017-0739 | दाचेंग शाओ , हांगली हान ( @HexB1n ), मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-9691, सीवीई-2017-0744 | गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ । |
| सीवीई-2017-0727 | अल्फा टीम के गुआंग गोंग (龚广) ( @oldfresher ), क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड। |
| सीवीई-2017-0737 | हानज़ियांग वेन , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-0748 | क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड की अल्फा टीम के हाओ चेन और गुआंग गोंग। |
| सीवीई-2017-0731 | होंगली हान ( @HexB1n ), मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-9679 | टेस्ला की उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे )। |
| सीवीई-2017-0726 | Niky1235 ( @jiych_guru ) |
| सीवीई-2017-9684, सीवीई-2017-9694, सीवीई-2017-9693, सीवीई-2017-9681, सीवीई-2017-0738, सीवीई-2017-0728 | पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), और Baidu एक्स-लैब (百度安全实验室) के लेनक्स वेई (韦韬) |
| सीवीई-2017-9680, सीवीई-2017-0740 | स्कॉट बाउर ( @ScottyBauer1 ) |
| सीवीई-2017-0724 | ट्रेंडमाइक्रो के सेवन शेन ( @lingtongshen )। |
| सीवीई-2017-0732, सीवीई-2017-0805 | सीएसएस इंक के टिमोथी बेकर। |
| सीवीई-2017-10661 | टोंग लिन ( segfault5514@gmail.com ), युआन-त्सुंग लो ( computernik@gmail.com ), और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-0712 | वैलेरियो कोस्टामाग्ना ( @vaio_co ) और मार्को बार्टोली ( @wsxarcher ) |
| सीवीई-2017-0716 | वसीली वासिलिव |
| सीवीई-2017-0750, सीवीई-2017-0713, सीवीई-2017-0715, सीवीई-2017-10662सीवीई-2017-10663 | मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो के वीईओ ( @VYSEa )। |
| सीवीई-2017-9678 | ईगलआई टीम, एससीसी, हुआवेई के यान झोउ |
| सीवीई-2017-0749, सीवीई-2017-0746 | आइसस्वॉर्ड लैब, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के योंगगैंग गुओ ( @guoygang ) |
| सीवीई-2017-0729 | टेनसेंट की जुआनवू लैब के योंगके वांग |
| सीवीई-2017-0714, सीवीई-2017-0719, सीवीई-2017-0718, सीवीई-2017-0722, सीवीई-2017-0725, सीवीई-2017-0720, सीवीई-2017-0745 | चेंगदू सिक्योरिटी रिस्पांस सेंटर, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान । |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।
- 2017-08-01 या बाद के सुरक्षा पैच स्तर 2017-08-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
- 2017-08-05 या बाद के सुरक्षा पैच स्तर 2017-08-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-08-01]
- [ro.build.version.security_patch]:[2017-08-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- जो डिवाइस 01 अगस्त, 2017 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
- जो डिवाइस 05 अगस्त, 2017 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।
3. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।
| संक्षेपाक्षर | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड निष्पादन |
| ईओपी | विशेषाधिकार का उन्नयन |
| पहचान | जानकारी प्रकटीकरण |
| करने योग्य | सेवा की मनाई |
| एन/ए | वर्गीकरण उपलब्ध नहीं है |
4. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?
जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।
संस्करणों
| संस्करण | तारीख | टिप्पणियाँ |
|---|---|---|
| 1.0 | 7 अगस्त 2017 | बुलेटिन प्रकाशित. |
| 1.1 | 8 अगस्त 2017 | एओएसपी लिंक और पावती को शामिल करने के लिए बुलेटिन को संशोधित किया गया। |
| 1.2 | 14 अगस्त 2017 | CVE-2017-0687 जोड़ने के लिए बुलेटिन को संशोधित किया गया। |
| 1.2 | 23 अगस्त 2017 | CVE-2017-0805 जोड़ने के लिए बुलेटिन को संशोधित किया गया। |