पब्लिश करने की तारीख: 06 फ़रवरी, 2017 | अपडेट करने की तारीख: 08 फ़रवरी, 2017
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. इस सूचना के साथ ही, हमने Google डिवाइसों के लिए, ओवर-द-एयर (ओटीए) अपडेट के ज़रिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Google डिवाइस के फ़र्मवेयर की इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. सुरक्षा पैच के 05 फ़रवरी, 2017 या उसके बाद के लेवल से, इन सभी समस्याओं को ठीक किया जा सकता है. किसी डिवाइस के सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.
पार्टनर को 03 जनवरी, 2017 या उससे पहले, बुलेटिन में बताई गई समस्याओं के बारे में सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए गए हैं और इस सूचना से लिंक किए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और SafetyNet जैसी सेवा से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
सूचनाएं
- इस सूचना में, सुरक्षा पैच के दो लेवल की स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर उन कमजोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं जो सभी Android डिवाइसों में एक जैसी होती हैं. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और जवाब देखें:
- 01-02-2017: सुरक्षा पैच के लेवल की कुछ जानकारी देने वाली स्ट्रिंग. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-02-2017 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-02-2017: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. इस सिक्योरिटी पैच लेवल की स्ट्रिंग से पता चलता है कि 01-02-2017 और 05-02-2017 (और सिक्योरिटी पैच लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- जिन Google डिवाइसों पर यह सुविधा काम करती है उन्हें 05 फ़रवरी, 2017 के सुरक्षा पैच लेवल के साथ एक ओटीए अपडेट मिलेगा.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. इन सुविधाओं को, नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देने के लिए डिज़ाइन किया गया है. Google Mobile Services वाले डिवाइसों पर, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं. Google Play पर, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले टूल उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने की सुविधा, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर, उपयोगकर्ताओं को चेतावनी देती है. भले ही, वह ऐप्लिकेशन किसी भी सोर्स से डाउनलोड किया गया हो. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा के जोखिम का फ़ायदा उठाते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, Mediaserver जैसी प्रोसेस को मीडिया को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- डैनियल डाखनो: CVE-2017-0420
- Copperhead Security के डेनियल माइकय: CVE-2017-0410
- Dzmitry Lukyanenka: CVE-2017-0414
- Chrome के फ़्रैंक लिबरतो: CVE-2017-0409
- प्रोजेक्ट ज़ीरो के गैल बेनियामिनी: CVE-2017-0411, CVE-2017-0412
- Gengjia Chen (@chengjia4574) और pjf, IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0434, CVE-2017-0446, CVE-2017-0447, CVE-2017-0432
- Qihoo 360 Technology Co.Ltd की Alpha टीम के, ग्वेंग गोंग (龚广) (@oldfresher) ने यह समस्या बताई: CVE-2017-0415
- Hanxiang Wen, Wenke Dou, Mingjian Zhou ( @Mingjian_Zhou), और C0RE टीम के Xuxian Jiang ने CVE-2017-0418 की जानकारी दी:
- Qihoo 360 Technology Co. Ltd. की Alpha Team के Hao Chen और Guang Gong: CVE-2017-0437, CVE-2017-0438, CVE-2017-0439, CVE-2016-8419, CVE-2016-8420, CVE-2016-8421, CVE-2017-0441, CVE-2017-0442, CVE-2016-8476, CVE-2017-0443
- Google के जेफ़ शैर्की: CVE-2017-0421, CVE-2017-0423
- जेफ़ ट्रिम: CVE-2017-0422
- Jianqiang Zhao ( @jianqiangzhao) और pjf, IceSword Lab, Qihoo 360: CVE-2017-0445
- LINE Corporation के ma.la और Nikolay Elenkov: CVE-2016-5552
- Google के मैक्स स्पेक्टर: CVE-2017-0416
- C0RE टीम के मिन्गजियन झोउ ( @Mingjian_Zhou), युकी लू ( @nikos233), और जूशियन जियांग: CVE-2017-0425
- क्विनलैब, टिनसेंट (腾讯科恩实验室) के दीपिन हे (何淇丹) (@flanker_hqd) और दीपिन शेन (申迪) (@returnsme): CVE-2017-0427
- IBM X-Force Research के सागी केडमी: CVE-2017-0433
- Copperhead Security के स्कॉट बाउर (@ScottyBauer1) और डैनियल माइकय: CVE-2017-0405
- Trend Micro की मोबाइल खतरे से जुड़ी रिसर्च टीम के सदस्य, Seven Shen (@lingtongshen): CVE-2017-0449, CVE-2016-8418
- Tong Lin, Yuan-Tsung Lo, Chiachih Wu ( @chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2017-0436, CVE-2016-8481, CVE-2017-0435
- Trend Micro की मोबाइल खतरे से जुड़ी प्रतिक्रिया टीम के वी.ई.ओ (@VYSEa): CVE-2017-0424
- Alibaba Inc. के वेईचाओ सुन (@sunblate): CVE-2017-0407
- Wenke Dou, Hongli Han, Mingjian Zhou ( @Mingjian_Zhou), और C0RE टीम के Xuxian Jiang: CVE-2017-0450
- Wenke Dou, Yuqi Lu ( @nikos233), Mingjian Zhou ( @Mingjian_Zhou), और C0RE टीम के Xuxian Jiang ने CVE-2017-0417 की जानकारी दी:
- Ant-financial Light-Year Security Lab के Wish Wu (@wish_wu) ( 吴潍浠 此彼): CVE-2017-0408
- Yao Jun, Yuan-Tsung Lo, चिआची वू ( @chiachih_wu), और C0RE टीम के शुक्सियन जियांग: CVE-2016-8480
- युआन-त्सुंग लो, चिआची वू ( @chiachih_wu), और C0RE टीम के शुक्सियन जियांग: CVE-2017-0444
- Yuan-Tsung Lo, Tong Lin, Chiachih Wu ( @chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2017-0428
- Yuan-Tsung Lo, Xiaodong Wang, Chiachih Wu ( @chiachih_wu), और C0RE टीम के Xuxian Jiang: CVE-2017-0448, CVE-2017-0429
- Zhen Zhou ( @henices) और NSFocus के Zhixin Li: CVE-2017-0406
इस सूचना पत्र में योगदान देने वाले लोगों का भी हम धन्यवाद करना चाहते हैं:
- Baidu X-Lab (百度安全实验室) के पेंगफ़ेई डिंग (丁鹏飞), चेनफ़ू बाओ (包沉浮), और लेनक्स वेई (韦韬)
01-02-2017 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी
नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-02-2017 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और शिकायत करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
Surfaceflinger में, रिमोट कोड चलाने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
Surfaceflinger में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी एक समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी को खराब कर सकता है. Surfaceflinger प्रोसेस के संदर्भ में, रिमोट कोड लागू होने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0405 | A-31960359 | सबसे अहम | सभी | 7.0, 7.1.1 | 4 अक्टूबर, 2016 |
Mediaserver में, रिमोट कोड चलाने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
Mediaserver में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. Mediaserver प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0406 | A-32915871 [2] | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 14 नवंबर, 2016 |
| CVE-2017-0407 | A-32873375 | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 12 नवंबर, 2016 |
libgdx में, रिमोट कोड को लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
libgdx में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, हमलावर किसी खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. इस लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन में, रिमोट कोड एक्ज़ीक्यूशन की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0408 | A-32769670 | ज़्यादा | सभी | 7.1.1 | 9 नवंबर, 2016 |
libstagefright में, रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
libstagefright में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. इस लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन में, रिमोट कोड एक्ज़ीक्यूशन की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0409 | A-31999646 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | सिर्फ़ Google के लिए |
Java.Net में प्रिविलेज एस्कलेशन की समस्या
Java.Net लाइब्रेरी में विशेषाधिकार बढ़ाने से, नुकसान पहुंचाने वाले वेब कॉन्टेंट को उपयोगकर्ता को साफ़ तौर पर अनुमति दिए बिना किसी दूसरी वेबसाइट पर रीडायरेक्ट करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को रिमोट से बायपास करता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-5552 | A-31858037 | ज़्यादा | सभी | 7.0, 7.1.1 | 30 सितंबर, 2016 |
फ़्रेमवर्क एपीआई में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Framework API में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को, विशेषाधिकार वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0410 | A-31929765 | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 अक्टूबर, 2016 |
| CVE-2017-0411 | A-33042690 [2] | ज़्यादा | सभी | 7.0, 7.1.1 | 21 नवंबर, 2016 |
| CVE-2017-0412 | A-33039926 [2] | ज़्यादा | सभी | 7.0, 7.1.1 | 21 नवंबर, 2016 |
Mediaserver में प्रिविलेज एस्कलेशन से जुड़ी समस्या
Mediaserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0415 | A-32706020 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 4 नवंबर, 2016 |
Audioserver में प्रिविलेज एस्कलेशन की समस्या
Audioserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0416 | A-32886609 [2] | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | सिर्फ़ Google के लिए |
| CVE-2017-0417 | A-32705438 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर, 2016 |
| CVE-2017-0418 | A-32703959 [2] | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर, 2016 |
| CVE-2017-0419 | A-32220769 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 15 अक्टूबर, 2016 |
AOSP Mail में, जानकारी ज़ाहिर होने से जुड़ी जोखिम की आशंका
AOSP Mail में जानकारी ज़ाहिर करने की समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, ऑपरेटिंग सिस्टम की सुरक्षा को बायपास कर सकता है. यह सुरक्षा, ऐप्लिकेशन के डेटा को अन्य ऐप्लिकेशन से अलग करती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उस डेटा को ऐक्सेस करने के लिए किया जा सकता है जिसका ऐप्लिकेशन के पास ऐक्सेस नहीं है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0420 | A-32615212 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 12 सितंबर, 2016 |
AOSP Messaging में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
AOSP मैसेजिंग में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, ऑपरेटिंग सिस्टम की सुरक्षा को बायपास कर सकता है. यह सुरक्षा, ऐप्लिकेशन के डेटा को दूसरे ऐप्लिकेशन से अलग करती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उस डेटा को ऐक्सेस करने के लिए किया जा सकता है जिसका ऐप्लिकेशन के पास ऐक्सेस नहीं है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0413 | A-32161610 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 13 अक्टूबर, 2016 |
| CVE-2017-0414 | A-32807795 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 10 नवंबर, 2016 |
Framework के एपीआई में, जानकारी ज़ाहिर होने की जोखिम
Framework API में जानकारी ज़ाहिर करने की जोखिम वाली समस्या की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को ऑपरेटिंग सिस्टम की सुरक्षा को बायपास करने में मदद मिल सकती है. यह सुरक्षा, ऐप्लिकेशन के डेटा को दूसरे ऐप्लिकेशन से अलग करती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उस डेटा को ऐक्सेस करने के लिए किया जा सकता है जिसका ऐप्लिकेशन के पास ऐक्सेस नहीं है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0421 | A-32555637 | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | सिर्फ़ Google के लिए |
Bionic DNS में सेवा में रुकावट की समस्या
Bionic DNS में, सेवा के अस्वीकार होने से जुड़ी जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, डिवाइस को हैंग करने या रीबूट करने के लिए, खास तौर पर तैयार किए गए नेटवर्क पैकेट का इस्तेमाल कर सकता है. रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0422 | A-32322088 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 अक्टूबर, 2016 |
ब्लूटूथ में प्रिविलेज एस्कलेशन की समस्या
ब्लूटूथ में, ऐक्सेस लेवल की सुविधा से जुड़ी जोखिम की वजह से, आस-पास मौजूद हमलावर डिवाइस पर मौजूद दस्तावेज़ों का ऐक्सेस मैनेज कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले ब्लूटूथ स्टैक में मौजूद किसी अलग तरह की कमजोरी का फ़ायदा उठाना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0423 | A-32612586 | काफ़ी हद तक ठीक है | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 नवंबर, 2016 |
AOSP Messaging में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
AOSP मैसेजिंग में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली स्थिति है. इसकी वजह से, रिमोट ऐटकर, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इसके लिए, वह खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता लेवल पर सुरक्षा के लिए बनी बेहतर सुविधाओं को बायपास करने का एक सामान्य तरीका है. इसके अलावा, यह किसी खास प्रोसेस में, एक्सप्लॉइट को कम करने वाली टेक्नोलॉजी का गलत इस्तेमाल करने का भी एक तरीका है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0424 | A-32322450 | काफ़ी हद तक ठीक है | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 20 अक्टूबर, 2016 |
Audioserver में, जानकारी ज़ाहिर होने की जोखिम
Audioserver में जानकारी ज़ाहिर करने की समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0425 | A-32720785 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर, 2016 |
फ़ाइल सिस्टम में, जानकारी ज़ाहिर होने की जोखिम
फ़ाइल सिस्टम में जानकारी ज़ाहिर करने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0426 | A-32799236 [2] | काफ़ी हद तक ठीक है | सभी | 7.0, 7.1.1 | सिर्फ़ Google के लिए |
05-02-2017 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-02-2017 के पैच लेवल पर लागू होती हैं. इसमें समस्या की जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और रिपोर्ट करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
Qualcomm क्रिप्टो ड्राइवर में, रिमोट कोड लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
Qualcomm क्रिप्टो ड्राइवर में, रिमोट कोड प्रोग्राम चलाने से जुड़ी एक कमज़ोरी है. इसकी वजह से, रिमोट से हमलावर, कर्नेल के संदर्भ में कोई भी कोड चला सकता है. इस समस्या को गंभीर के तौर पर रेटिंग दी गई है, क्योंकि इसकी वजह से कर्नेल के संदर्भ में, रिमोट कोड को चलाया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8418 | A-32652894 QC-CR#1077457 |
सबसे अहम | कोई नहीं* | 10 अक्टूबर, 2016 |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस की जोखिम
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0427 | A-31495866* | सबसे अहम | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | 13 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
NVIDIA जीपीयू ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
NVIDIA जीपीयू ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमजोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0428 | A-32401526* N-CVE-2017-0428 |
सबसे अहम | Nexus 9 | 25 अक्टूबर, 2016 |
| CVE-2017-0429 | A-32636619* N-CVE-2017-0429 |
सबसे अहम | Nexus 9 | 3 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
कर्नेल नेटवर्किंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
कर्नेल नेटवर्किंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-9914 | A-32882659 अपस्ट्रीम कर्नेल |
सबसे अहम | Nexus 6, Nexus Player | 9 नवंबर, 2016 |
Broadcom वाई-फ़ाई ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Broadcom Wi-Fi ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0430 | A-32838767* B-RB#107459 |
सबसे अहम | Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm के कॉम्पोनेंट में जोखिम की आशंकाएं
यहां दी गई सुरक्षा से जुड़ी समस्या, Qualcomm के कॉम्पोनेंट पर असर डालती है. इस बारे में ज़्यादा जानकारी, Qualcomm AMSS के सितंबर 2016 के सुरक्षा बुलेटिन में दी गई है.
| CVE | रेफ़रंस | गंभीरता* | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0431 | A-32573899** | सबसे अहम | कोई नहीं*** | Qualcomm इंटरनल |
* इन जोखिमों की गंभीरता की रेटिंग, वेंडर ने तय की है.
** इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
*** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
MediaTek ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
MediaTek ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0432 | A-28332719* M-ALPS02708925 |
ज़्यादा | कोई नहीं** | 21 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Synaptics टचस्क्रीन ड्राइवर में, विशेषाधिकार हासिल करने की सुविधा से जुड़ी जोखिम
Synaptics टचस्क्रीन ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, टचस्क्रीन चिपसेट के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0433 | A-31913571* | ज़्यादा | Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | 8 सितंबर, 2016 |
| CVE-2017-0434 | A-33001936* | ज़्यादा | Pixel, Pixel XL | 18 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm Secure Execution Environment के कम्यूनिकेटर ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
Qualcomm Secure Execution Environment Communicator ड्राइव में, विशेषाधिकार बढ़ाने की समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'ज़्यादा' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8480 | A-31804432 QC-CR#1086186 [2] |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 28 सितंबर, 2016 |
Qualcomm साउंड ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Qualcomm साउंड ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8481 | A-31906415* QC-CR#1078000 |
ज़्यादा | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1 अक्टूबर, 2016 |
| CVE-2017-0435 | A-31906657* QC-CR#1078000 |
ज़्यादा | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 1 अक्टूबर, 2016 |
| CVE-2017-0436 | A-32624661* QC-CR#1078000 |
ज़्यादा | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 2 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0437 | A-32402310 QC-CR#1092497 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 25 अक्टूबर, 2016 |
| CVE-2017-0438 | A-32402604 QC-CR#1092497 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 25 अक्टूबर, 2016 |
| CVE-2017-0439 | A-32450647 QC-CR#1092059 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 25 अक्टूबर, 2016 |
| CVE-2016-8419 | A-32454494 QC-CR#1087209 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 26 अक्टूबर, 2016 |
| CVE-2016-8420 | A-32451171 QC-CR#1087807 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 26 अक्टूबर, 2016 |
| CVE-2016-8421 | A-32451104 QC-CR#1087797 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 26 अक्टूबर, 2016 |
| CVE-2017-0440 | A-33252788 QC-CR#1095770 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 11 नवंबर, 2016 |
| CVE-2017-0441 | A-32872662 QC-CR#1095009 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 11 नवंबर, 2016 |
| CVE-2017-0442 | A-32871330 QC-CR#1092497 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 13 नवंबर, 2016 |
| CVE-2017-0443 | A-32877494 QC-CR#1092497 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 13 नवंबर, 2016 |
| CVE-2016-8476 | A-32879283 QC-CR#1091940 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 14 नवंबर, 2016 |
Realtek साउंड ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Realtek साउंड ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0444 | A-32705232* | ज़्यादा | Nexus 9 | 7 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
HTC टचस्क्रीन ड्राइवर में, खास सुविधाओं के ऐक्सेस की सुविधा का गलत इस्तेमाल करने की सुविधा
HTC टचस्क्रीन ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0445 | A-32769717* | ज़्यादा | Pixel, Pixel XL | 9 नवंबर, 2016 |
| CVE-2017-0446 | A-32917445* | ज़्यादा | Pixel, Pixel XL | 15 नवंबर, 2016 |
| CVE-2017-0447 | A-32919560* | ज़्यादा | Pixel, Pixel XL | 15 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
NVIDIA वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
NVIDIA वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0448 | A-32721029* N-CVE-2017-0448 |
ज़्यादा | Nexus 9 | 7 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Broadcom वाई-फ़ाई ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Broadcom Wi-Fi ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है. हालांकि, मौजूदा प्लैटफ़ॉर्म कॉन्फ़िगरेशन की मदद से, इस समस्या को कम किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0449 | A-31707909* B-RB#32094 |
काफ़ी हद तक ठीक है | Nexus 6, Nexus 6P | 23 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Audioserver में प्रिविलेज एस्कलेशन की समस्या
Audioserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि मौजूदा प्लैटफ़ॉर्म कॉन्फ़िगरेशन की वजह से, यह समस्या कम हो जाती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0450 | A-32917432* | काफ़ी हद तक ठीक है | Nexus 9 | 15 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस की जोखिम
कर्नेल फ़ाइल सिस्टम में प्रिविलेज एस्केलेशन की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को सुरक्षा से जुड़ी उन सुविधाओं को बायपास करने में मदद मिल सकती है जो प्रिविलेज एस्केलेशन को रोकती हैं. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता लेवल पर सुरक्षा के बेहतर तरीके या एक्सप्लॉइट को कम करने वाली टेक्नोलॉजी को सामान्य तौर पर बायपास करती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-10044 | A-31711619* | काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel C, Nexus Player, Pixel, Pixel XL | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm Secure Execution Environment Communicator में, जानकारी ज़ाहिर होने की समस्या
Qualcomm Secure Execution Environment Communicator में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8414 | A-31704078 QC-CR#1076407 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 सितंबर, 2016 |
Qualcomm साउंड ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी समस्या
Qualcomm साउंड ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0451 | A-31796345 QC-CR#1073129 [2] |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 27 सितंबर, 2016 |
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.
- 01-02-2017 या उसके बाद के सुरक्षा पैच लेवल, 01-02-2017 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-02-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 05-02-2017 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
[ro.build.version.security_patch]:[2017-02-01][ro.build.version.security_patch]:[2017-02-05]
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 1 फ़रवरी, 2017 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए.
- जिन डिवाइसों में 5 फ़रवरी, 2017 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. मुझे कैसे पता चलेगा कि हर समस्या का असर किन Google डिवाइसों पर पड़ा है?
01-02-2017 और 05-02-2017 के 'सुरक्षा से जुड़ी समस्याओं की जानकारी' सेक्शन में, हर टेबल में एक अपडेट किए गए Google डिवाइस कॉलम होता है. इसमें, हर समस्या के लिए अपडेट किए गए उन Google डिवाइसों की जानकारी होती है जिन पर असर पड़ा है. इस कॉलम में कुछ विकल्प होते हैं:
- सभी Google डिवाइस: अगर कोई समस्या सभी और Pixel डिवाइसों पर असर डालती है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "सभी" दिखेगा. "सभी" में ये डिवाइस शामिल हैं: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, और Pixel XL.
- कुछ Google डिवाइस: अगर किसी समस्या का असर सभी Google डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Google डिवाइसों कॉलम में दी गई है.
- कोई Google डिवाइस नहीं: अगर Android 7.0 पर काम करने वाले किसी भी Google डिवाइस पर इस समस्या का असर नहीं पड़ा है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" दिखेगा.
4. रेफ़रंस कॉलम में मौजूद एंट्री किससे मैप होती हैं?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है. ये प्रीफ़िक्स इस तरह मैप होते हैं:
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
संशोधन
- 06 फ़रवरी, 2017: बुलेटिन पब्लिश किया गया.
- 08 फ़रवरी, 2017: AOSP के लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.