Android सुरक्षा बुलेटिन—मार्च 2018

5 मार्च 2018 को प्रकाशित | 7 मार्च 2018 को अपडेट किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। 2018-03-05 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपने Android संस्करण की जांच करें और अपडेट करें देखें।

एंड्रॉइड भागीदारों को प्रकाशन से कम से कम एक महीने पहले सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

नोट: Google उपकरणों के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फर्मवेयर छवियों की जानकारी मार्च 2018 पिक्सेल / नेक्सस सुरक्षा बुलेटिन में उपलब्ध है।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और Google Play प्रोटेक्ट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play प्रोटेक्ट के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2018-03-01 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2018-03-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करती हैं। इसमें समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडिया ढाँचा

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-13248 ए-70349612 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13249 ए-70399408 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13250 ए-71375536 आरसीई गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13251 ए-69269702 ईओपी गंभीर 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13252 ए-70526702 ईओपी उच्च 8.0, 8.1
सीवीई-2017-13253 ए-71389378 ईओपी उच्च 8.0, 8.1

प्रणाली

इस अनुभाग में सबसे गंभीर भेद्यता एक निकटतम हमलावर को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अद्यतन AOSP संस्करण
सीवीई-2017-13255 ए-68776054 आरसीई गंभीर 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13256 ए-68817966 आरसीई गंभीर 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13272 ए-67110137 [ 2 ] आरसीई गंभीर 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13266 ए-69478941 आरसीई गंभीर 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13257 ए-67110692 पहचान उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13258 ए-67863755 पहचान उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13259 ए-68161546 [ 2 ] पहचान उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13260 ए-69177251 पहचान उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13261 ए-69177292 पहचान उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1
सीवीई-2017-13262 ए-69271284 पहचान उच्च 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1

2018-03-05 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2018-03-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

कर्नेल घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-16530 ए-69051940
अपस्ट्रीम कर्नेल
ईओपी उच्च यूएएस ड्राइवर
सीवीई-2017-16525 ए-69050921
अपस्ट्रीम कर्नेल
ईओपी उच्च यूएसबी ड्राइवर
सीवीई-2017-16535 ए-69052675
अपस्ट्रीम कर्नेल
पहचान उच्च यूएसबी ड्राइवर
सीवीई-2017-16533 ए-69052348
अपस्ट्रीम कर्नेल
पहचान उच्च यूएसबी ड्राइवर
सीवीई-2017-16531 ए-69052055
अपस्ट्रीम कर्नेल
पहचान उच्च यूएसबी ड्राइवर
सीवीई-2017-16529 ए-69051731
अपस्ट्रीम कर्नेल
पहचान उच्च यूएसबी ध्वनि चालक

एनवीडिया घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-6281 ए-66969318 *
एन-सीवीई-2017-6281
ईओपी उच्च Libnvomx
सीवीई-2017-6286 ए-64893247 *
एन-सीवीई-2017-6286
ईओपी उच्च Libnvomx

क्वालकॉम घटक

इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-18067 ए-68992411
क्यूसी-सीआर#2081734 [ 2 ]
आरसीई गंभीर वायरलेस नेटवर्क ड्राइवर
सीवीई-2017-15815 ए-68992395
क्यूसी-सीआर#2093392
आरसीई गंभीर डब्ल्यूएलएएन
सीवीई-2017-18068 ए-70799990
क्यूसी-सीआर#2072064
ईओपी उच्च डब्ल्यूएलएएन
सीवीई-2017-18056 ए-70237692
क्यूसी-सीआर#2119404
ईओपी उच्च डब्ल्यूएलएएन
सीवीई-2017-18063 ए-68992442
क्यूसी-सीआर#2114776
ईओपी उच्च डब्ल्यूएलएएन
सीवीई-2017-18064 ए-68992438
क्यूसी-सीआर#2114323
ईओपी उच्च डब्ल्यूएलएएन
सीवीई-2017-15821 ए-68992432
क्यूसी-सीआर#2113072
ईओपी उच्च डब्ल्यूएलएएन
सीवीई-2017-14885 ए-70237686
क्यूसी-सीआर#2113758
ईओपी उच्च डब्ल्यूएलएएन
सीवीई-2017-18069 ए-67582682 *
क्यूसी-सीआर#2054772 क्यूसी-सीआर#2058471
पहचान उच्च डब्ल्यूएलएएन
सीवीई-2017-14882 ए-68992424
क्यूसी-सीआर#2101439
पहचान उच्च डब्ल्यूएलएएन
सीवीई-2017-14878 ए-70237706
क्यूसी-सीआर#2064580 [ 2 ] [ 3 ]
करने योग्य उच्च वायरलेस नेटवर्क ड्राइवर

क्वालकॉम बंद-स्रोत घटक

ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम एएमएसएस सुरक्षा बुलेटिन या सुरक्षा अलर्ट में आगे विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ प्रकार तीव्रता अवयव
सीवीई-2017-17773 ए-70221445 क्यूसी-सीआर#2125554 * एन/ए गंभीर बंद-स्रोत घटक
सीवीई-2016-10393 ए-68326806 क्यूसी-सीआर#1055934 * एन/ए उच्च बंद-स्रोत घटक

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपने Android संस्करण की जांच करें और अपडेट करें देखें।

  • 2018-03-01 या बाद के सुरक्षा पैच स्तर 2018-03-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2018-03-05 या बाद के सुरक्षा पैच स्तर 2018-03-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2018-03-01]
  • [ro.build.version.security_patch]:[2018-03-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 2018-03-01 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
  • जो डिवाइस 2018-03-05 या नए सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

3. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?

जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।

6. सुरक्षा कमजोरियाँ इस बुलेटिन और डिवाइस/साझेदार सुरक्षा बुलेटिन, जैसे कि पिक्सेल/नेक्सस बुलेटिन, के बीच विभाजित क्यों हैं?

एंड्रॉइड डिवाइस पर नवीनतम सुरक्षा पैच स्तर घोषित करने के लिए इस सुरक्षा बुलेटिन में दर्ज की गई सुरक्षा कमजोरियाँ आवश्यक हैं। डिवाइस/साझेदार सुरक्षा बुलेटिन में दर्ज अतिरिक्त सुरक्षा कमजोरियाँ सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं हैं। एंड्रॉइड डिवाइस और चिपसेट निर्माताओं को सैमसंग , एलजीई , या पिक्सेल / नेक्सस सुरक्षा बुलेटिन जैसी अपनी सुरक्षा वेबसाइटों के माध्यम से अपने डिवाइस पर अन्य सुधारों की उपस्थिति का दस्तावेजीकरण करने के लिए प्रोत्साहित किया जाता है।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 5 मार्च 2018 बुलेटिन प्रकाशित.
1.1 7 मार्च 2018 एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।