5 सितंबर 2017 को प्रकाशित | 5 अक्टूबर, 2017 को अपडेट किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। 05 सितंबर, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को कम से कम एक महीने पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक गंभीर गंभीरता भेद्यता है जो एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर छवियों की जानकारी Google डिवाइस अपडेट अनुभाग में उपलब्ध है।
घोषणाएं
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2017-09-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-09-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2017-09-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-09-01 और 2017-09-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और Google Play प्रोटेक्ट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play प्रोटेक्ट के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।
2017-09-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करती हैं। इसमें समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
रूपरेखा
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0752 | ए-62196835 [ 2 ] | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
पुस्तकालय
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0753 | ए-62218744 | आरसीई | उच्च | 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-6983 | ए-63852675 | आरसीई | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0755 | ए-32178311 | ईओपी | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
मीडिया फ्रेमवर्क
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0756 | ए-34621073 | आरसीई | गंभीर | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0757 | ए-36006815 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0758 | ए-36492741 | आरसीई | गंभीर | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0759 | ए-36715268 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0760 | ए-37237396 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0761 | ए-38448381 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0762 | ए-62214264 | आरसीई | गंभीर | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0763 | ए-62534693 | आरसीई | गंभीर | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0764 | ए-62872015 | आरसीई | गंभीर | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0765 | ए-62872863 | आरसीई | गंभीर | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0766 | ए-37776688 | आरसीई | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0767 | ए-37536407 [ 2 ] | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0768 | ए-62019992 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0769 | ए-37662122 | ईओपी | उच्च | 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0770 | ए-38234812 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0771 | ए-37624243 | करने योग्य | उच्च | 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0772 | ए-38115076 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0773 | ए-37615911 | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0774 | ए-62673844 [ 2 ] | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0775 | ए-62673179 | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0776 | ए-38496660 | पहचान | मध्यम | 7.0, 7.1.1, 7.1.2, 8.0 |
| करने योग्य | उच्च | 6.0.1 | ||
| सीवीई-2017-0777 | ए-38342499 | पहचान | मध्यम | 7.0, 7.1.1, 7.1.2 |
| करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| सीवीई-2017-0778 | ए-62133227 | पहचान | मध्यम | 7.0, 7.1.1, 7.1.2 |
| करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| सीवीई-2017-0779 | ए-38340117 [ 2 ] | पहचान | मध्यम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
क्रम
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके किसी एप्लिकेशन को हैंग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0780 | ए-37742976 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
प्रणाली
इस अनुभाग में सबसे गंभीर भेद्यता एक निकटतम हमलावर को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0781 | ए-63146105 [ 2 ] | आरसीई | गंभीर | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0782 | ए-63146237 [ 2 ] [ 3 ] | आरसीई | गंभीर | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0783 | ए-63145701 | पहचान | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0784 | ए-37287958 | ईओपी | मध्यम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0785 | ए-63146698 | पहचान | मध्यम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
2017-09-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
ब्रॉडकॉम घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके निकटतम हमलावर को सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-11120 | ए-62575409 * बी-V2017061204 | आरसीई | गंभीर | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-11121 | ए-62576413 * बी-V2017061205 | आरसीई | गंभीर | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-7065 | ए-62575138 * बी-V2017061202 | आरसीई | गंभीर | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-0786 | ए-37351060 * बी-V2017060101 | ईओपी | उच्च | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-0787 | ए-37722970 * बी-V2017053104 | ईओपी | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-0788 | ए-37722328 * बी-V2017053103 | ईओपी | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-0789 | ए-37685267 * बी-V2017053102 | ईओपी | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-0790 | ए-37357704 * बी-V2017053101 | ईओपी | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-0791 | ए-37306719 * बी-V2017052302 | ईओपी | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-0792 | ए-37305578 * बी-V2017052301 | पहचान | मध्यम | वाई-फ़ाई ड्राइवर |
Imgtk घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0793 | ए-35764946 * | पहचान | उच्च | मेमोरी सबसिस्टम |
कर्नेल घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-8890 | ए-38413975 अपस्ट्रीम कर्नेल | आरसीई | गंभीर | नेटवर्किंग सबसिस्टम |
| सीवीई-2017-9076 | ए-62299478 अपस्ट्रीम कर्नेल | ईओपी | उच्च | नेटवर्किंग सबसिस्टम |
| सीवीई-2017-9150 | ए-62199770 अपस्ट्रीम कर्नेल | पहचान | उच्च | लिनक्स कर्नेल |
| सीवीई-2017-7487 | ए-62070688 अपस्ट्रीम कर्नेल | ईओपी | उच्च | आईपीएक्स प्रोटोकॉल ड्राइवर |
| सीवीई-2017-6214 | ए-37901268 अपस्ट्रीम कर्नेल | करने योग्य | उच्च | नेटवर्किंग सबसिस्टम |
| सीवीई-2017-6346 | ए-37897645 अपस्ट्रीम कर्नेल | ईओपी | उच्च | लिनक्स कर्नेल |
| सीवीई-2017-5897 | ए-37871211 अपस्ट्रीम कर्नेल | पहचान | उच्च | नेटवर्किंग सबसिस्टम |
| सीवीई-2017-7495 | ए-62198330 अपस्ट्रीम कर्नेल | पहचान | उच्च | फाइल सिस्टम |
| सीवीई-2017-7616 | ए-37751399 अपस्ट्रीम कर्नेल | पहचान | मध्यम | लिनक्स कर्नेल |
| सीवीई-2017-12146 | ए-35676417 अपस्ट्रीम कर्नेल | ईओपी | मध्यम | लिनक्स कर्नेल |
| सीवीई-2017-0794 | ए-35644812 * | ईओपी | मध्यम | एससीएसआई चालक |
मीडियाटेक घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0795 | ए-36198473 * एम-एएलपीएस03361480 | ईओपी | उच्च | सहायक डिटेक्टर ड्राइवर |
| सीवीई-2017-0796 | ए-62458865 * एम-एएलपीएस03353884 एम-एएलपीएस03353886 एम-एएलपीएस03353887 | ईओपी | उच्च | AUXADC ड्राइवर |
| सीवीई-2017-0797 | ए-62459766 * एम-एएलपीएस03353854 | ईओपी | उच्च | सहायक डिटेक्टर ड्राइवर |
| सीवीई-2017-0798 | ए-36100671 * एम-एएलपीएस03365532 | ईओपी | उच्च | गुठली |
| सीवीई-2017-0799 | ए-36731602 * एम-एएलपीएस03342072 | ईओपी | उच्च | लास्टबस |
| सीवीई-2017-0800 | ए-37683975 * एम-एएलपीएस03302988 | ईओपी | उच्च | टीईईआई |
| सीवीई-2017-0801 | ए-38447970 * एम-एएलपीएस03337980 | ईओपी | उच्च | LibMtkOmxVdec |
| सीवीई-2017-0802 | ए-36232120 * एम-एएलपीएस03384818 | ईओपी | मध्यम | गुठली |
| सीवीई-2017-0803 | ए-36136137 * एम-एएलपीएस03361477 | ईओपी | मध्यम | सहायक डिटेक्टर ड्राइवर |
| सीवीई-2017-0804 | ए-36274676 * एम-एएलपीएस03361487 | ईओपी | मध्यम | एमएमसी ड्राइवर |
क्वालकॉम घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-11041 | ए-36130225 * क्यूसी-सीआर#2053101 | आरसीई | गंभीर | LibOmxVenc |
| सीवीई-2017-10996 | ए-38198574 क्यूसी-सीआर#901529 | पहचान | उच्च | लिनक्स कर्नेल |
| सीवीई-2017-9725 | ए-38195738 क्यूसी-सीआर#896659 | ईओपी | उच्च | मेमोरी सबसिस्टम |
| सीवीई-2017-9724 | ए-38196929 क्यूसी-सीआर#863303 | ईओपी | उच्च | लिनक्स कर्नेल |
| सीवीई-2017-8278 | ए-62379474 क्यूसी-सीआर#2013236 | ईओपी | उच्च | ऑडियो ड्राइवर |
| सीवीई-2017-10999 | ए-36490777 * क्यूसी-सीआर#2010713 | ईओपी | मध्यम | आईपीए ड्राइवर |
| सीवीई-2017-11001 | ए-36815555 * क्यूसी-सीआर#2051433 | पहचान | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-11002 | ए-37712167 * क्यूसी-सीआर#2058452 क्यूसी-सीआर#2054690 क्यूसी-सीआर#2058455 | पहचान | मध्यम | वाई-फ़ाई ड्राइवर |
| सीवीई-2017-8250 | ए-62379051 क्यूसी-सीआर#2003924 | ईओपी | मध्यम | जीपीयू ड्राइवर |
| सीवीई-2017-9677 | ए-62379475 क्यूसी-सीआर#2022953 | ईओपी | मध्यम | ऑडियो ड्राइवर |
| सीवीई-2017-10998 | ए-38195131 क्यूसी-सीआर#108461 | ईओपी | मध्यम | ऑडियो ड्राइवर |
| सीवीई-2017-9676 | ए-62378596 क्यूसी-सीआर#2016517 | पहचान | मध्यम | फाइल सिस्टम |
| सीवीई-2017-8280 | ए-62377236 क्यूसी-सीआर#2015858 | ईओपी | मध्यम | WLAN ड्राइवर |
| सीवीई-2017-8251 | ए-62379525 क्यूसी-सीआर#2006015 | ईओपी | मध्यम | कैमरा ड्राइवर |
| सीवीई-2017-10997 | ए-33039685 * क्यूसी-सीआर#1103077 | ईओपी | मध्यम | पीसीआई ड्राइवर |
| सीवीई-2017-11000 | ए-36136563 * क्यूसी-सीआर#2031677 | ईओपी | मध्यम | कैमरा ड्राइवर |
| सीवीई-2017-8247 | ए-62378684 क्यूसी-सीआर#2023513 | ईओपी | मध्यम | कैमरा ड्राइवर |
| सीवीई-2017-9720 | ए-36264696 * क्यूसी-सीआर#2041066 | ईओपी | मध्यम | कैमरा ड्राइवर |
| सीवीई-2017-8277 | ए-62378788 क्यूसी-सीआर#2009047 | ईओपी | मध्यम | वीडियो ड्राइवर |
| सीवीई-2017-8281 | ए-62378232 क्यूसी-सीआर#2015892 | पहचान | मध्यम | ऑटोमोटिव मल्टीमीडिया |
| सीवीई-2017-11040 | ए-37567102 * क्यूसी-सीआर#2038166 | पहचान | मध्यम | वीडियो ड्राइवर |
Google डिवाइस अपडेट
इस तालिका में नवीनतम ओवर-द-एयर अपडेट (ओटीए) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस OTA में अतिरिक्त अपडेट भी शामिल हो सकते हैं। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।
| गूगल डिवाइस | सुरक्षा पैच स्तर |
|---|---|
| पिक्सेल/पिक्सेल एक्सएल | 2017-09-05 |
| नेक्सस 5X | 2017-09-05 |
| नेक्सस 6 | 2017-09-05 |
| नेक्सस 6पी | 2017-09-05 |
| नेक्सस 9 | 2017-09-05 |
| नेक्सस प्लेयर | 2017-09-05 |
| पिक्सेल सी | 2017-09-05 |
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
| सीवीई | शोधकर्ताओं |
|---|---|
| सीवीई-2017-11000 | बाओज़ेंग डिंग ( @sploving ), चेंगमिंग यांग, और अलीबाबा मोबाइल सिक्योरिटी ग्रुप के यांग सॉन्ग |
| सीवीई-2017-0781, सीवीई-2017-0782, सीवीई-2017-0783, सीवीई-2017-0785 | आर्मिस, इंक. के बेन सेरी और ग्रेगरी विश्नेपोलस्की ( https://armis.com ) |
| सीवीई-2017-0800, सीवीई-2017-0798 | अलीबाबा मोबाइल सिक्योरिटी ग्रुप के चेंगमिंग यांग, बाओज़ेंग डिंग और यांग सॉन्ग |
| सीवीई-2017-0765 | ची झांग , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-0758 | चेंग्दू सिक्योरिटी रिस्पांस सेंटर, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के चोंग वांग और 金哲 (ज़े जिन)। |
| सीवीई-2017-0752 | कांग झेंग ( @shellcong ), वेनजुन हू, जिओ झांग, और पालो अल्टो नेटवर्क के ज़ी जू |
| सीवीई-2017-0801 | दचेंग शाओ , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-0755 | अलीबाबा मोबाइल सुरक्षा टीम के दावेई पेंग ( weibo: Vinc3nt4H ) |
| सीवीई-2017-0775, सीवीई-2017-0774, सीवीई-2017-0771 | अल्फ़ा टीम के एल्फ़ेट और गोंग गुआंग, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड। |
| सीवीई-2017-0784 | एन हे ( @heeeeen4x ) और MS509Team के बो लियू |
| सीवीई-2017-10997 | गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ । |
| सीवीई-2017-0786, सीवीई-2017-0792, सीवीई-2017-0791, सीवीई-2017-0790, सीवीई-2017-0789, सीवीई-2017-0788, सीवीई-2017-0787 | अल्फा टीम के हाओ चेन और गुआंग गोंग, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड। |
| सीवीई-2017-0802 | शेलफिश ग्रिल टीम के जेक कोरिना ( @JakeCorina )। |
| सीवीई-2017-0780 | ट्रेंड माइक्रो के जेसन गु और सेवन शेन |
| सीवीई-2017-0769 | मिंगजियन झोउ ( @Mingjian_Zhou ), दचेंग शाओ , और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-0794, सीवीई-2017-9720, सीवीई-2017-11001, सीवीई-2017-10999, सीवीई-2017-0766 | पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब के लेनक्स वेई (韦韬) (百度安全实验室) |
| सीवीई-2017-0772 | ट्रेंड माइक्रो के सेवन शेन |
| सीवीई-2017-0757 | वसीली वासिलिव |
| सीवीई-2017-0768, सीवीई-2017-0779 | वेन्के डू , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग |
| सीवीई-2017-0759 | अलीबाबा इंक के वीचाओ सन |
| सीवीई-2017-0796 | ज़ियांगकियान झांग, चेंगमिंग यांग, बाओज़ेंग डिंग और अलीबाबा मोबाइल सिक्योरिटी ग्रुप के यांग सॉन्ग |
| सीवीई-2017-0753 | यांगकांग ( @dnpushme ) और Qihoo360 Qex टीम के हुजियानफेई |
| सीवीई-2017-12146 | आइसस्वॉर्ड लैब, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के योंगगैंग गुओ ( @guoygang ) |
| सीवीई-2017-0767 | टेनसेंट की जुआनवू लैब के योंगके वांग और युएबिन सन |
| सीवीई-2017-0804, सीवीई-2017-0803, सीवीई-2017-0799, सीवीई-2017-0795 | वुल्पेकर टीम के यू पैन और यांग दाई , क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड |
| सीवीई-2017-0760 | चेंगदू सिक्योरिटी रिस्पांस सेंटर, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान और 金哲 (ज़े जिन)। |
| सीवीई-2017-0764, सीवीई-2017-0761, सीवीई-2017-0776, सीवीई-2017-0777, सीवीई-2017-0778 | चेंगदू सिक्योरिटी रिस्पांस सेंटर, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान । |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।
- 2017-09-01 या उसके बाद के सुरक्षा पैच स्तर 2017-09-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
- 2017-09-05 या बाद के सुरक्षा पैच स्तर 2017-09-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-09-01]
- [ro.build.version.security_patch]:[2017-09-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- जो डिवाइस 2017-09-01 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
- जो डिवाइस 2017-09-05 या नए सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।
3. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।
| संक्षेपाक्षर | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड निष्पादन |
| ईओपी | विशेषाधिकार का उन्नयन |
| पहचान | जानकारी प्रकटीकरण |
| करने योग्य | सेवा की मनाई |
| एन/ए | वर्गीकरण उपलब्ध नहीं है |
4. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?
जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।
संस्करणों
| संस्करण | तारीख | टिप्पणियाँ |
|---|---|---|
| 1.0 | 5 सितंबर 2017 | बुलेटिन प्रकाशित. |
| 1.1 | 12 सितंबर 2017 | उद्योग-समन्वित प्रकटीकरण के भाग के रूप में CVE-2017-0781, CVE-2017-0782, CVE-2017-0783 और CVE-2017-0785 के लिए विवरण जोड़े गए। |
| 1.2 | 13 सितंबर 2017 | एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया। |
| 1.3 | 25 सितंबर 2017 | उद्योग-समन्वित प्रकटीकरण के हिस्से के रूप में सीवीई-2017-11120 और सीवीई-2017-11121 के लिए विवरण जोड़ा गया। |
| 1.4 | 28 सितंबर 2017 | CVE-2017-11001 के लिए विक्रेता संदर्भ अद्यतन करें। |