Android सुरक्षा बुलेटिन-सितंबर 2018

प्रकाशित 4 सितंबर, 2018 | अपडेट किया गया 5 सितंबर 2018

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण है। 2018-09-05 के सुरक्षा पैच स्तर या बाद में इन सभी मुद्दों का समाधान। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें

Android भागीदारों को प्रकाशन से कम से कम एक महीने पहले सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए सोर्स कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी को जारी किया गया है और इस बुलेटिन से लिंक किया गया है। इस बुलेटिन में AOSP के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में से सबसे गंभीर मीडिया फ्रेमवर्क में एक महत्वपूर्ण सुरक्षा भेद्यता है जो किसी विशेष प्रक्रिया वाली फ़ाइल का उपयोग करके किसी विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए बंद कर दिए गए हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं, के विवरण के लिए Android और Google Play प्रोटेक्ट मिटिगेशन सेक्शन देखें।

नोट: Google उपकरणों के लिए नवीनतम ओवर-द-एयर अपडेट (ओटीए) और फर्मवेयर छवियों की जानकारी सितंबर 2018 पिक्सेल / नेक्सस सुरक्षा बुलेटिन में उपलब्ध है

Android और Google सेवा शमन

यह एंड्रॉइड सिक्योरिटी प्लेटफॉर्म और सर्विस प्रोटेक्शन जैसे Google Play Protect द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम Google Play प्रोटेक्ट के माध्यम से दुरुपयोग के लिए सक्रिय रूप से निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देती है। Google Play सुरक्षा Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं।

2018-09-01 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2018-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के तहत वर्गीकृत किया जाता है। सीवीई, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन किए गए AOSP संस्करण (जहां लागू हो) के साथ मुद्दे और एक तालिका का विवरण है। उपलब्ध होने पर, हम सार्वजनिक परिवर्तन को बग आईडी से जोड़ते हैं, जैसे कि AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

Android रनटाइम

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके दूरस्थ हमलावर को सक्षम कर सकती है जो कि लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने के लिए।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2018-9466 A-62151041 आरसीई उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9467 A- 110955991 ईओपी उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

ढांचा

इस खंड में सबसे गंभीर भेद्यता एक अनपेक्षित प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2018-9469 A-109824443 ईओपी उच्च 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9470 A-78290481 ईओपी उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9471 A-77599679 ईओपी उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

पुस्तकालय

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके दूरस्थ हमलावर को सक्षम कर सकती है जो कि लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने के लिए।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2018-9472 A- 79662501 आरसीई उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1

मीडिया फ्रेमवर्क

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2018-9474 A-77600398 ईओपी उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9440 A-77823362 [ 2 ] करने योग्य उदारवादी 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

प्रणाली

इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय हमलावर को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2018-9475 A-79266386 ईओपी नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9478 A-79217522 ईओपी नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9479 A-79217770 ईओपी नाजुक 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9456 A-78136869 करने योग्य उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1
CVE-2018-9477 A-92497653 ईओपी उच्च 8.0, 8.1
CVE-2018-9480 A-109757168 ईद उच्च 8.0, 8.1, 9
CVE-2018-9481 A-109757435 ईद उच्च 8.0, 8.1, 9
CVE-2018-9482 A-109757986 ईद उच्च 8.0, 8.1, 9
CVE-2018-9483 A- 110216173 ईद उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9484 A- 79488381 ईद उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9485 A-80261585 ईद उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9486 A- 80493272 ईद उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2018-9487 A-69873852 करने योग्य उच्च 8.0, 8.1, 9
CVE-2018-9488 A-110107376 ईओपी उदारवादी 8.0, 8.1, 9

2018-09-05 सुरक्षा पैच स्तर भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2018-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के तहत वर्गीकृत किया जाता है और इसमें सीवीई, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन किए गए एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम सार्वजनिक परिवर्तन को बग आईडी से लिंक करते हैं, जैसे कि AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।

ढांचा

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकती है जो अन्य एप्लिकेशन से एप्लिकेशन डेटा को अलग करती है।

सीवीई संदर्भ प्रकार तीव्रता अपडेटेड AOSP संस्करण
CVE-2018-9468 A-111084083 ईद उच्च 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

कर्नेल घटक

इस खंड में सबसे गंभीर भेद्यता दूरस्थ हमलावर को केवल स्थानीय स्तर पर स्थापित अनुप्रयोगों के लिए अनुमतियों के साथ सामान्य रूप से सुलभ डेटा तक पहुंचने में सक्षम कर सकती है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2017-5754 A-69856074 *
अपस्ट्रीम कर्नेल
ईद उच्च कर्नेल मेमोरी

क्वालकॉम घटक

ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम एपीएसएस सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और विस्तार से वर्णित हैं। Android भागीदार Createpoint के माध्यम से अपने उपकरणों के लिए अपने मुद्दों की प्रयोज्यता की जांच कर सकते हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2018-11816 A-63527106
QC-CR # 2119840 *
एन / ए उच्च वीडियो
CVE-2018-11261 A-64340487
QC-CR # 2119840 *
एन / ए उच्च वीडियो
CVE-2018-11836 A-111128620
QC-CR # 2214158
एन / ए उच्च WLAN HOST
CVE-2018-11842 A-111124974
QC-CR # 2216741
एन / ए उच्च WLAN HOST
CVE-2018-11898 A-111128799
QC-CR # 2233036
एन / ए उच्च WLAN HOST
CVE-2017-15825 A-68992460
QC-CR # 2096455
एन / ए उदारवादी बीओओटी
CVE-2018-11270 A- 109741697
QC-CR # 2205728
एन / ए उदारवादी वायर्डकनेक्टिविटी

क्वालकॉम बंद-स्रोत घटक

ये भेद्यताएँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम एएमएसएस सुरक्षा बुलेटिन या सुरक्षा चेतावनी में और विस्तार से वर्णित हैं। Android भागीदार Createpoint के माध्यम से अपने उपकरणों के लिए अपने मुद्दों की प्रयोज्यता की जांच कर सकते हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।

सीवीई संदर्भ प्रकार तीव्रता अंग
CVE-2016-10394 A-68326803 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2017-18314 A-62213176 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2017-18311 A-73539234 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2018-11950 A-72950814 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2018-5866 A-77484228 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2018-11824 A-111090697 * एन / ए नाजुक बंद-स्रोत घटक
CVE-2016-10408 A-68326811 * एन / ए उच्च बंद-स्रोत घटक
CVE-2017-18313 A-78240387 * एन / ए उच्च बंद-स्रोत घटक
CVE-2017-18312 A-78239234 * एन / ए उच्च बंद-स्रोत घटक
CVE-2017-18124 A-68326819 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-3588 A-71501117 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11951 A-72950958 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11952 A-74236425 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-5871 A-77484229 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-5914 A-79419793 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11288 A-109677940 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11285 A-109677982 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11290 A-109677964 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11292 A-109678202 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11287 A-109678380 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11846 A-111091377 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11855 A-111090533 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11857 A-111093202 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11858 A-111090698 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11866 A-111093021 * एन / ए उच्च बंद-स्रोत घटक
CVE-2018-11865 A-111093167 * एन / ए उच्च बंद-स्रोत घटक

आम सवाल और जवाब

यह खंड उन सामान्य प्रश्नों का उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन मुद्दों को हल करने के लिए अपडेट किया गया है?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपना Android संस्करण देखें और अपडेट करें

  • 2018-09-01 के सुरक्षा पैच स्तर या बाद में 2018-09-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2018-09-05 के सुरक्षा पैच स्तर या बाद में 2018-09-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

डिवाइस निर्माता जिनमें ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर पर सेट करना चाहिए:

  • [ro.build.version.security_patch]: [2018-09-01]
  • [ro.build.version.security_patch]: [2018-09-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर होते हैं ताकि एंड्रॉइड पार्टनर में कमजोरियों का एक सबसेट ठीक करने का लचीलापन हो जो सभी एंड्रॉइड डिवाइसों पर समान रूप से जल्दी से समान हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 2018-09-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दे शामिल होने चाहिए, साथ ही पिछले सुरक्षा बुलेटिनों में बताए गए सभी मुद्दों के लिए सुधार शामिल हैं।
  • 2018-09-05 या नए के सुरक्षा पैच स्तर का उपयोग करने वाले डिवाइसों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

भागीदारों को उन सभी समस्याओं के लिए सुधार को प्रोत्साहित करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या मतलब है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षिप्त परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उत्थान
ईद जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन / ए वर्गीकरण उपलब्ध नहीं है

4. संदर्भ कॉलम में प्रविष्टियां क्या हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के तहत प्रविष्टियां उस संगठन की पहचान करने के लिए एक उपसर्ग हो सकती हैं जिसमें संदर्भ मान होता है।

उपसर्ग संदर्भ
ए- Android बग आईडी
QC- क्वालकॉम संदर्भ संख्या
म- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे एक * क्या है?

सार्वजनिक रूप से उपलब्ध नहीं होने वाले मुद्दों में संदर्भ स्तंभ में Android बग ID के आगे एक * है। उस समस्या के लिए अद्यतन आमतौर पर Google डेवलपर साइट से उपलब्ध पिक्सेल / नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

6. इस बुलेटिन और डिवाइस / पार्टनर सुरक्षा बुलेटिन, जैसे कि पिक्सेल / नेक्सस बुलेटिन के बीच सुरक्षा कमजोरियाँ क्यों विभाजित हैं?

इस सुरक्षा बुलेटिन में प्रलेखित सुरक्षा कमजोरियों के लिए Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करना आवश्यक है। अतिरिक्त सुरक्षा सुरक्षाछिद्र जो डिवाइस / पार्टनर सुरक्षा बुलेटिन में दर्ज़ किए गए हैं उन्हें सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं है। एंड्रॉइड डिवाइस और चिपसेट निर्माताओं को अपने स्वयं के सुरक्षा वेबसाइटों, जैसे कि सैमसंग , एलजीई या पिक्सेल / नेक्सस सुरक्षा बुलेटिन के माध्यम से अपने उपकरणों पर अन्य सुधारों की उपस्थिति का दस्तावेजीकरण करने के लिए प्रोत्साहित किया जाता है।

संस्करणों

संस्करण तारीख टिप्पणियाँ
1.0 4 सितंबर 2018 बुलेटिन प्रकाशित।
१.१ 5 सितंबर 2018 बुलेटिन AOSP लिंक शामिल करने के लिए संशोधित।