एंड्रॉइड सुरक्षा बुलेटिन-जुलाई 2017

5 जुलाई 2017 को प्रकाशित | 26 सितंबर, 2017 को अपडेट किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। 05 जुलाई 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को कम से कम एक महीने पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर छवियों की जानकारी Google डिवाइस अपडेट अनुभाग में उपलब्ध है।

घोषणाएं

  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-07-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-07-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-07-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-07-01 और 2017-07-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।

एंड्रॉइड और गूगल प्ले प्रोटेक्ट शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और Google Play प्रोटेक्ट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play प्रोटेक्ट के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2017-07-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-07-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करती हैं। इसमें समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

क्रम

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-3544 ए-35784677 आरसीई मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

रूपरेखा

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0664 ए-36491278 ईओपी उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0665 ए-36991414 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0666 ए-37285689 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0667 ए-37478824 ईओपी उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0668 ए-22011579 पहचान मध्यम 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0669 ए-34114752 पहचान उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0670 ए-36104177 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

पुस्तकालय

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0671 ए-34514762 * आरसीई उच्च 4.4.4
सीवीई-2016-2109 ए-35443725 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0672 ए-34778578 करने योग्य उच्च 7.0, 7.1.1, 7.1.2

मीडिया ढाँचा

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0540 ए-33966031 आरसीई गंभीर 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0673 ए-33974623 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0674 ए-34231163 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0675 ए-34779227 [ 2 ] आरसीई गंभीर 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0676 ए-34896431 आरसीई गंभीर 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0677 ए-36035074 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0678 ए-36576151 आरसीई गंभीर 7.0, 7.1.1, 7.1.2
सीवीई-2017-0679 ए-36996978 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0680 ए-37008096 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0681 ए-37208566 आरसीई गंभीर 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0682 ए-36588422 * आरसीई उच्च 7.0, 7.1.1, 7.1.2
सीवीई-2017-0683 ए-36591008 * आरसीई उच्च 7.0, 7.1.1, 7.1.2
सीवीई-2017-0684 ए-35421151 ईओपी उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0685 ए-34203195 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0686 ए-34231231 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0688 ए-35584425 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0689 ए-36215950 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0690 ए-36592202 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0691 ए-36724453 करने योग्य उच्च 7.0, 7.1.1, 7.1.2
सीवीई-2017-0692 ए-36725407 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0693 ए-36993291 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0694 ए-37093318 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0695 ए-37094889 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0696 ए-37207120 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0697 ए-37239013 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0698 ए-35467458 पहचान मध्यम 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0699 ए-36490809 पहचान मध्यम 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

सिस्टम यूआई

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-0700 ए-35639138 आरसीई उच्च 7.1.1, 7.1.2
सीवीई-2017-0701 ए-36385715 [ 2 ] आरसीई उच्च 7.1.1, 7.1.2
सीवीई-2017-0702 ए-36621442 आरसीई उच्च 7.1.1, 7.1.2
सीवीई-2017-0703 ए-33123882 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0704 ए-33059280 ईओपी मध्यम 7.1.1, 7.1.2

2017-07-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-07-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

ब्रॉडकॉम घटक

इस अनुभाग में सबसे गंभीर भेद्यता निकटतम हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-9417 ए-38041027 *
बी-आरबी#123023
आरसीई गंभीर वाई-फ़ाई ड्राइवर
सीवीई-2017-0705 ए-34973477 *
बी-आरबी#119898
ईओपी मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-0706 ए-35195787 *
बी-आरबी#120532
ईओपी मध्यम वाई-फ़ाई ड्राइवर

एचटीसी घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-0707 ए-36088467 * ईओपी मध्यम एलईडी ड्राइवर
सीवीई-2017-0708 ए-35384879 * पहचान मध्यम ध्वनि चालक
सीवीई-2017-0709 ए-35468048 * पहचान कम सेंसर हब ड्राइवर

कर्नेल घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-6074 ए-35784697
अपस्ट्रीम कर्नेल
ईओपी उच्च नेटवर्किंग सबसिस्टम
सीवीई-2017-5970 ए-35805460
अपस्ट्रीम कर्नेल
करने योग्य उच्च नेटवर्किंग सबसिस्टम
सीवीई-2015-5707 ए-35841297
अपस्ट्रीम कर्नेल [ 2 ]
ईओपी मध्यम एससीएसआई चालक
सीवीई-2017-7308 ए-36725304
अपस्ट्रीम कर्नेल [ 2 ] [ 3 ]
ईओपी मध्यम नेटवर्किंग ड्राइवर
सीवीई-2014-9731 ए-35841292
अपस्ट्रीम कर्नेल
पहचान मध्यम फाइल सिस्टम

मीडियाटेक घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-0711 ए-36099953 *
एम-एएलपीएस03206781
ईओपी उच्च नेटवर्किंग ड्राइवर

एनवीडिया घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-0340 ए-33968204 *
एन-सीवीई-2017-0340
ईओपी उच्च Libnvparser
सीवीई-2017-0326 ए-33718700 *
एन-सीवीई-2017-0326
पहचान मध्यम वीडियो ड्राइवर

क्वालकॉम घटक

इस अनुभाग में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-8255 ए-36251983
क्यूसी-सीआर#985205
ईओपी उच्च बूटलोडर
सीवीई-2016-10389 ए-34500449
क्यूसी-सीआर#1009145
ईओपी उच्च बूटलोडर
सीवीई-2017-8253 ए-35400552
क्यूसी-सीआर#1086764
ईओपी उच्च कैमरा ड्राइवर
सीवीई-2017-8262 ए-32938443
क्यूसी-सीआर#2029113
ईओपी उच्च जीपीयू ड्राइवर
सीवीई-2017-8263 ए-34126808 *
क्यूसी-सीआर#1107034
ईओपी उच्च अनाम साझा मेमोरी सबसिस्टम
सीवीई-2017-8267 ए-34173755 *
क्यूसी-सीआर#2001129
ईओपी उच्च अनाम साझा मेमोरी सबसिस्टम
सीवीई-2017-8273 ए-35400056
क्यूसी-सीआर#1094372 [ 2 ]
ईओपी उच्च बूटलोडर
सीवीई-2016-5863 ए-36251182
क्यूसी-सीआर#1102936
ईओपी मध्यम यूएसबी छिपाई ड्राइवर
सीवीई-2017-8243 ए-34112490 *
क्यूसी-सीआर#2001803
ईओपी मध्यम SoC ड्राइवर
सीवीई-2017-8246 ए-37275839
क्यूसी-सीआर#2008031
ईओपी मध्यम ध्वनि चालक
सीवीई-2017-8256 ए-37286701
क्यूसी-सीआर#1104565
ईओपी मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-8257 ए-37282763
क्यूसी-सीआर#2003129
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-8259 ए-34359487
क्यूसी-सीआर#2009016
ईओपी मध्यम SoC ड्राइवर
सीवीई-2017-8260 ए-34624155
क्यूसी-सीआर#2008469
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-8261 ए-35139833 *
क्यूसी-सीआर#2013631
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-8264 ए-33299365 *
क्यूसी-सीआर#1107702
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-8265 ए-32341313
क्यूसी-सीआर#1109755
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-8266 ए-33863407
क्यूसी-सीआर#1110924
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-8268 ए-34620535 *
क्यूसी-सीआर#2002207
ईओपी मध्यम कैमरा ड्राइवर
सीवीई-2017-8270 ए-35468665 *
क्यूसी-सीआर#2021363
ईओपी मध्यम वाई-फ़ाई ड्राइवर
सीवीई-2017-8271 ए-35950388 *
क्यूसी-सीआर#2028681
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-8272 ए-35950805 *
क्यूसी-सीआर#2028702
ईओपी मध्यम वीडियो ड्राइवर
सीवीई-2017-8254 ए-36252027
क्यूसी-सीआर#832914
पहचान मध्यम ध्वनि चालक
सीवीई-2017-8258 ए-37279737
क्यूसी-सीआर#2005647
पहचान मध्यम कैमरा ड्राइवर
सीवीई-2017-8269 ए-33967002 *
क्यूसी-सीआर#2013145
पहचान मध्यम आईपीए चालक

क्वालकॉम बंद-स्रोत घटक

ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और 2014-2016 में क्वालकॉम एएमएसएस सुरक्षा बुलेटिन में आगे विस्तार से वर्णित हैं। उनके सुधारों को एंड्रॉइड सुरक्षा पैच स्तर के साथ जोड़ने के लिए उन्हें इस एंड्रॉइड सुरक्षा बुलेटिन में शामिल किया गया है। इन कमजोरियों का समाधान सीधे क्वालकॉम से उपलब्ध है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2014-9411 ए-37473054 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9968 ए-37304413 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9973 ए-37470982 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9974 ए-37471979 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9975 ए-37471230 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9977 ए-37471087 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9978 ए-37468982 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9979 ए-37471088 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2014-9980 ए-37471029 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-0575 ए-37296999 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-8592 ए-37470090 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-8595 ए-37472411 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-8596 ए-37472806 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9034 ए-37305706 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9035 ए-37303626 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9036 ए-37303519 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9037 ए-37304366 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9038 ए-37303027 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9039 ए-37302628 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9040 ए-37303625 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9041 ए-37303518 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9042 ए-37301248 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9043 ए-37305954 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9044 ए-37303520 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9045 ए-37302136 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9046 ए-37301486 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9047 ए-37304367 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9048 ए-37305707 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9049 ए-37301488 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9050 ए-37302137 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9051 ए-37300737 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9052 ए-37304217 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9053 ए-37301249 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9054 ए-37303177 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9055 ए-37472412 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9060 ए-37472807 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9061 ए-37470436 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9062 ए-37472808 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9067 ए-37474000 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9068 ए-37470144 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9069 ए-37470777 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9070 ए-37474001 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9071 ए-37471819 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9072 ए-37474002 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2015-9073 ए-37473407 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10343 ए-32580186 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10344 ए-32583954 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10346 ए-37473408 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10347 ए-37471089 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10382 ए-28823584 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10383 ए-28822389 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10388 ए-32580294 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-10391 ए-32583804 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-5871 ए-37473055 * एन/ए उच्च बंद-स्रोत घटक
सीवीई-2016-5872 ए-37472809 * एन/ए उच्च बंद-स्रोत घटक

Google डिवाइस अपडेट

इस तालिका में नवीनतम ओवर-द-एयर अपडेट (ओटीए) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।

गूगल डिवाइस सुरक्षा पैच स्तर
पिक्सेल/पिक्सेल एक्सएल जुलाई 05, 2017
नेक्सस 5X जुलाई 05, 2017
नेक्सस 6 जुलाई 05, 2017
नेक्सस 6पी जुलाई 05, 2017
नेक्सस 9 जुलाई 05, 2017
नेक्सस प्लेयर जुलाई 05, 2017
पिक्सेल सी जुलाई 05, 2017

यदि लागू हो तो Google डिवाइस अपडेट में इन सुरक्षा कमजोरियों के लिए पैच भी शामिल हैं:

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-0710 ए-34951864 * ईओपी मध्यम टीसीबी

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

सीवीई शोधकर्ताओं
सीवीई-2017-8263 गूगल के बिली लाउ
सीवीई-2017-0711 अलीबाबा मोबाइल सिक्योरिटी ग्रुप के चेंगमिंग यांग, बाओज़ेंग डिंग और यांग सॉन्ग
सीवीई-2017-0681 ची झांग , हानज़ियांग वेन , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-0706 ज़ुआनवु लैब, टेनसेंट के डैक्सिंग गुओ ( @freener0 )।
सीवीई-2017-8260 डेरेक ( @derrekr6 ) और स्कॉट बाउर
सीवीई-2017-8265 कीनलैब ( @keen_lab ), टेनसेंट के डि शेन ( @returnsme )।
सीवीई-2017-0703 दज़मित्री लुक्यानेंका
सीवीई-2017-0692, सीवीई-2017-0694 अल्फ़ा टीम के एल्फ़ेट और गोंग गुआंग, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड।
सीवीई-2017-8266, सीवीई-2017-8243, सीवीई-2017-8270 गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ
सीवीई-2017-0665 ची झांग , हानज़ियांग वेन , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-8268, सीवीई-2017-8261 जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, क्यूहू 360 के पीजेएफ
सीवीई-2017-0698 सेंसस कंसल्टिंग इंक के जॉय ब्रांड।
सीवीई-2017-0666, सीवीई-2017-0684 मिंगजियन झोउ ( @Mingjian_Zhou ), ची झांग , और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-0697, सीवीई-2017-0670 Niky1235 ( @jiych_guru )
सीवीई-2017-9417 एक्सोडस इंटेलिजेंस के निताय आर्टेंस्टीन
सीवीई-2017-0705, सीवीई-2017-8259 स्कॉट बाउर
सीवीई-2017-0667 सीएसएस इंक के टिमोथी बेकर।
सीवीई-2017-0682, सीवीई-2017-0683, सीवीई-2017-0676, सीवीई-2017-0696, सीवीई-2017-0675, सीवीई-2017-0701, सीवीई-2017-0702, सीवीई-2017-0699 वसीली वासिलिव
सीवीई-2017-0695, सीवीई-2017-0689, सीवीई-2017-0540, सीवीई-2017-0680, सीवीई-2017-0679, सीवीई-2017-0685, सीवीई-2017-0686, सीवीई-2017-0693, सीवीई- 2017-0674, सीवीई-2017-0677 मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो के वीईओ ( @VYSEa )।
सीवीई-2017-0708 Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के ज़िलिंग गोंग
सीवीई-2017-0690 यांगकांग ( @dnpushme ) और Qihoo 360 Qex टीम के लियाडोंग
सीवीई-2017-8269, सीवीई-2017-8271, सीवीई-2017-8272, सीवीई-2017-8267 आइसस्वॉर्ड लैब, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के योंगगैंग गुओ ( @guoygang )
सीवीई-2017-8264, सीवीई-2017-0326, सीवीई-2017-0709 युआन-त्सुंग लो ( computernik@gmail.com ) और C0RE टीम के ज़ुक्सियान जियांग
सीवीई-2017-0704, सीवीई-2017-0669 Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के युक्सियांग ली ( @Xbalien29 )।
सीवीई-2017-0710 एंड्रॉइड सुरक्षा टीम के जैच रिगल ( @ebeip90 )।
सीवीई-2017-0678 चेंगदू सिक्योरिटी रिस्पांस सेंटर, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान
सीवीई-2017-0691, सीवीई-2017-0700 चेंग्दू सिक्योरिटी रिस्पांस सेंटर के ज़िनुओ हान , किहू 360 टेक्नोलॉजी कंपनी लिमिटेड और पंगु टीम के एओ वांग ( @ArayzSegment )

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।

  • 2017-07-01 या बाद के सुरक्षा पैच स्तर 2017-07-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2017-07-05 या बाद के सुरक्षा पैच स्तर 2017-07-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2017-07-01]
  • [ro.build.version.security_patch]:[2017-07-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 01 जुलाई, 2017 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
  • जो डिवाइस 05 जुलाई, 2017 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

3. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?

जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 5 जुलाई 2017 बुलेटिन प्रकाशित.
1.1 6 जुलाई 2017 एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
1.2 11 जुलाई 2017 स्वीकृतियों को अद्यतन करने के लिए बुलेटिन को संशोधित किया गया।
1.3 17 अगस्त 2017 संदर्भ संख्याओं को अद्यतन करने के लिए बुलेटिन को संशोधित किया गया।
1.4 19 सितंबर 2017 CVE-2017-0710 के लिए अद्यतन स्वीकृतियाँ।
1.5 26 सितंबर 2017 CVE-2017-0681 के लिए अद्यतन स्वीकृतियाँ।