Android सुरक्षा बुलेटिन-मार्च 2018

प्रकाशित 5 मार्च, 2018 | 7 मार्च 2018 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण है। 2018-03-05 या बाद में इन सभी मुद्दों का सुरक्षा पैच स्तर। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें

Android भागीदारों को प्रकाशन से कम से कम एक महीने पहले सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए सोर्स कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी किया गया है और इस बुलेटिन से लिंक किया गया है। इस बुलेटिन में AOSP के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में से सबसे गंभीर मीडिया फ्रेमवर्क में एक महत्वपूर्ण सुरक्षा भेद्यता है जो किसी विशेष प्रक्रिया वाली फ़ाइल का उपयोग करके किसी विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए बंद कर दिए गए हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

नोट: Google उपकरणों के लिए नवीनतम ओवर-द-एयर अपडेट (ओटीए) और फर्मवेयर छवियों की जानकारी मार्च 2018 पिक्सेल / नेक्सस सुरक्षा बुलेटिन में उपलब्ध है

Android और Google सेवा शमन

यह एंड्रॉइड सिक्योरिटी प्लेटफॉर्म और सर्विस प्रोटेक्शन जैसे Google Play Protect द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Google Play प्रोटेक्ट के माध्यम से दुरुपयोग के लिए सक्रिय रूप से निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देती है। Google Play सुरक्षा Google मोबाइल सेवाओं के साथ उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और Google Play के बाहर से एप्लिकेशन इंस्टॉल करने वाले उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है।

2018-03-01 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2018-03-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो उन्हें प्रभावित करते हैं। समस्या का विवरण और CVE, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन किए गए AOSP संस्करण (जहां लागू हो) के साथ एक तालिका है। जब उपलब्ध होता है, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

मीडिया की रूपरेखा

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक रिमोट हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2017-13248 A-70349612 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13249 A-70399408 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13250 A-71375536 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13251 A- 69269702 ईओपी नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13252 A-70526702 ईओपी उच्च 8.0, 8.1
CVE-2017-13253 A-71389378 ईओपी उच्च 8.0, 8.1

प्रणाली

इस खंड में सबसे गंभीर भेद्यता एक अनुमानित हमलावर को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2017-13255 A-68776054 आरसीई नाजुक 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13256 A-68817966 आरसीई नाजुक 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13272 A-67110137 [ 2 ] आरसीई नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13266 A-69478941 आरसीई नाजुक 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13257 A-67110692 ईद उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13258 A-67863755 ईद उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13259 A-68161546 [ 2 ] ईद उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13260 A-69177251 ईद उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13261 A-69177292 ईद उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2017-13262 A-69271284 ईद उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

2018-03-05 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2018-03-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो उन्हें प्रभावित करते हैं और इसमें सीवीई, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन किए गए एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल हैं। जब उपलब्ध होता है, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

कर्नेल घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-16530 A-69051940
अपस्ट्रीम कर्नेल
ईओपी उच्च यूएएस चालक
CVE-2017-16525 A-69050921
अपस्ट्रीम कर्नेल
ईओपी उच्च USB ड्राइवर
CVE-2017-16535 A-69052675
अपस्ट्रीम कर्नेल
ईद उच्च USB ड्राइवर
CVE-2017-16533 A-69052348
अपस्ट्रीम कर्नेल
ईद उच्च USB ड्राइवर
CVE-2017-16531 A-69052055
अपस्ट्रीम कर्नेल
ईद उच्च USB ड्राइवर
CVE-2017-16529 A-69051731
अपस्ट्रीम कर्नेल
ईद उच्च USB साउंड ड्राइवर

NVIDIA के घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-6281 A-66969318 *
एन-सीवीई-2017-6281
ईओपी उच्च Libnvomx
CVE-2017-6286 A-64893247 *
एन-सीवीई-2017-6286
ईओपी उच्च लिब्नवॉम्क्स

क्वालकॉम घटक

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक रिमोट हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-18067 A-68992411
QC-CR # 2081734 [ 2 ]
आरसीई नाजुक वायरलेस नेटवर्क ड्राइवर
CVE-2017-15815 A-68992395
QC-CR # 2093392
आरसीई नाजुक WLAN
CVE-2017-18068 A-70799990
QC-CR # 2072064
ईओपी उच्च WLAN
CVE-2017-18056 A-70237692
QC-CR # 2119404
ईओपी उच्च WLAN
CVE-2017-18063 A-68992442
QC-CR # 2114776
ईओपी उच्च WLAN
CVE-2017-18064 A-68992438
QC-CR # 2114323
ईओपी उच्च WLAN
CVE-2017-15821 A-68992432
क्यूसी-सीआर # 2113072
ईओपी उच्च WLAN
CVE-2017-14885 A-70237686
QC-CR # 2113758
ईओपी उच्च WLAN
CVE-2017-18069 A-67582682 *
QC-CR # 2054772 QC-CR # 2058471
ईद उच्च WLAN
CVE-2017-14882 A-68992424
QC-CR # 2101439
ईद उच्च WLAN
CVE-2017-14878 A-70237706
QC-CR # 2064580 [ 2 ] [ 3 ]
करने योग्य उच्च वायरलेस नेटवर्क ड्राइवर

क्वालकॉम बंद-स्रोत घटक

ये भेद्यताएँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम एएमएसएस सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का मूल्यांकन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-17773 A-70221445 QC-CR # 2125554 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10393 A-68326806 QC-CR # 1055934 * एन / ए उच्च बंद-स्रोत घटक

आम सवाल और जवाब

यह खंड उन सामान्य प्रश्नों का उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन मुद्दों को हल करने के लिए अपडेट किया गया है?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें

  • 2018-03-01 के सुरक्षा पैच स्तर या बाद में 2018-03-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करेंगे।
  • 2018-03-05 के सुरक्षा पैच स्तर या बाद में 2018-03-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

डिवाइस निर्माता जिनमें ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर पर सेट करना चाहिए:

  • [ro.build.version.security_patch]: [2018-03-01]
  • [ro.build.version.security_patch]: [2018-03-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर होते हैं ताकि एंड्रॉइड पार्टनर में कमजोरियों का एक सबसेट ठीक करने का लचीलापन हो जो सभी एंड्रॉइड डिवाइसों पर समान रूप से जल्दी से समान हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 2018-03-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दे शामिल होने चाहिए, साथ ही पिछले सुरक्षा बुलेटिनों में बताए गए सभी मुद्दों के लिए सुधार शामिल हैं।
  • 2018-03-05 या नए के सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

साझेदारों को उन सभी मुद्दों के लिए सुधार करने के लिए प्रोत्साहित किया जाता है, जिन्हें वे एक अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या मतलब है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षिप्त परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उत्थान
ईद जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन / ए वर्गीकरण उपलब्ध नहीं है

4. सन्दर्भ स्तंभ में प्रविष्टियाँ क्या हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के तहत प्रविष्टियां उस संगठन की पहचान करने के लिए एक उपसर्ग हो सकती हैं जिसमें संदर्भ मान होता है।

उपसर्ग संदर्भ
ए- Android बग आईडी
QC- क्वालकॉम संदर्भ संख्या
म- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे एक * क्या है?

सार्वजनिक रूप से उपलब्ध नहीं होने वाले मुद्दों में संदर्भ स्तंभ में Android बग ID के आगे एक * है। उस समस्या के लिए अद्यतन आमतौर पर Google डेवलपर साइट से उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

6. इस बुलेटिन और डिवाइस / पार्टनर सुरक्षा बुलेटिन, जैसे कि पिक्सेल / नेक्सस बुलेटिन के बीच सुरक्षा कमजोरियाँ क्यों विभाजित हैं?

Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर की घोषणा करने के लिए इस सुरक्षा बुलेटिन में प्रलेखित सुरक्षा कमजोरियों की आवश्यकता होती है। अतिरिक्त सुरक्षा सुरक्षाछिद्र जो डिवाइस / पार्टनर सुरक्षा बुलेटिन में दर्ज़ किए गए हैं उन्हें सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं है। एंड्रॉइड डिवाइस और चिपसेट निर्माताओं को अपने स्वयं के सुरक्षा वेबसाइटों, जैसे कि सैमसंग , एलजीई या पिक्सेल / नेक्सस सुरक्षा बुलेटिन के माध्यम से अपने उपकरणों पर अन्य सुधारों की उपस्थिति का दस्तावेजीकरण करने के लिए प्रोत्साहित किया जाता है।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 5 मार्च 2018 बुलेटिन प्रकाशित।
१.१ 7 मार्च 2018 बुलेटिन AOSP लिंक शामिल करने के लिए संशोधित।