Android सुरक्षा बुलेटिन—मार्च 2017

06 मार्च 2017 को प्रकाशित | 07 मार्च, 2017 को अपडेट किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट भी जारी किया है। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 मार्च, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 06 फरवरी, 2017 या उससे पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाएं

  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-03-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-03-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-03-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-03-01 और 2017-03-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित Google उपकरणों को 05 मार्च, 2017 सुरक्षा पैच स्तर के साथ एक एकल OTA अपडेट प्राप्त होगा।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • Google डायनामिक टूल्स टीम के अलेक्जेंडर पोटापेंको: CVE-2017-0537
  • अलीबाबा मोबाइल सुरक्षा समूह के बाओज़ेंग डिंग, चेंगमिंग यांग, पेंग जिओ और यांग सॉन्ग: CVE-2017-0506
  • अलीबाबा मोबाइल सुरक्षा समूह के बाओज़ेंग डिंग, निंग यू, चेंगमिंग यांग, पेंग जिओ और यांग सॉन्ग: CVE-2017-0463
  • Android सुरक्षा के बिली लाउ: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
  • डेरेक ( @derrekr6 ): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
  • डेरेक ( @derrekr6 ) और स्कॉट बाउर ( @ScottyBauer1 ): CVE-2017-0521
  • कीनलैब के डि शेन ( @returnsme ), टेनसेंट: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE- 2017-0525
  • एन हे ( @heeeeen4x ) और MS509Team के बो लियू: CVE-2017-0490
  • गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2017-0500, सीवीई-2017-0501, सीवीई-2017-0502, सीवीई-2017-0503, सीवीई-2017-0509, सीवीई-2017-0524, सीवीई-2017-0529, सीवीई-2017-0536
  • अल्फा टीम के हाओ चेन और गुआंग गोंग, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
  • सोनी मोबाइल कम्युनिकेशंस इंक के हिरोकी यामामोटो और फैंग चेन: CVE-2017-0481
  • आईबीएम सुरक्षा एक्स-फोर्स शोधकर्ता सागी केडमी और रोई हे: सीवीई-2017-0510
  • Qihoo 360 स्काईआई लैब्स के जियानजुन दाई ( @Jioun_dai ) : CVE-2017-0478
  • जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, किहू 360 के पीजेएफ : सीवीई-2016-8416, सीवीई-2016-8478, सीवीई-2017-0458, सीवीई-2017-0459, सीवीई-2017-0518, सीवीई-2017-0519 , सीवीई-2017-0533, सीवीई-2017-0534
  • लुबो झांग , टोंग लिन , युआन-त्सुंग लो , और सी0आरई टीम के ज़ुक्सियान जियांग: सीवीई-2016-8479
  • Google के Makoto Onuki: CVE-2017-0491
  • मिंगजियन झोउ ( @Mingjian_Zhou ), हानक्सियांग वेन , और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0479, CVE-2017-0480
  • नाथन क्रैन्डल ( @नेटक्रे ): सीवीई-2017-0535
  • टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे ): CVE-2017-0306
  • पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब के लेनक्स वेई (韦韬) (百度安全实验室): CVE-2016-8417
  • कीनलैब, टेनसेंट के क़िदान हे (何淇丹) ( @flanker_hqd ): CVE-2017-0337, CVE-2017-0476
  • क्यूहू 360 के किंग झांग और सिंगापुर इंस्टीट्यूट ऑफ टेक्नोलॉजी (एसआईटी) के गुआंगडोंग बाई: सीवीई-2017-0496
  • एंट-फाइनेंशियल लाइट-ईयर सिक्योरिटी लैब (蚂蚁金服巴斯光年安全实验室) के क्यूहे और वांचौचौ: सीवीई-2017-0522
  • डार्कमैटर में सुरक्षित संचार का सहारा : CVE-2017-0528
  • शेलफ़िश ग्रिल टीम के सैल्स ( @chris_salls ), यूसी सांता बारबरा: CVE-2017-0505
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2017-0504, CVE-2017-0516
  • शॉन ब्यूप्रे (ब्यूप्स): सीवीई-2017-0455
  • ट्रेंड माइक्रो के सेवन शेन ( @lingtongshen ): CVE-2017-0452
  • फुजित्सु के शिनिची मात्सुमोतो: CVE-2017-0498
  • बाइटरेव के स्टीफ़न मार्क्स : CVE-2017-0489
  • Google के स्वेतोस्लाव गानोव: CVE-2017-0492
  • टोंग लिन , युआन-त्सुंग लो , और सी0आरई टीम के ज़ुक्सियान जियांग: सीवीई-2017-0333
  • मोबाइल थ्रेट रिस्पांस टीम के वीईओ ( @VYSEa ), ट्रेंड माइक्रो : CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, सीवीई-2017-0472, सीवीई-2017-0473, सीवीई-2017-0482, सीवीई-2017-0484, सीवीई-2017-0485, सीवीई-2017-0486, सीवीई-2017-0487, सीवीई-2017-0494, सीवीई- 2017-0495
  • एंट-फाइनेंशियल लाइट-ईयर सिक्योरिटी लैब के विश वू (吴潍浠 此彼) ( @wish_wu ) (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
  • वुल्पेकर टीम के यू पैन, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2017-0517, सीवीई-2017-0532
  • युआन-त्सुंग लो , और C0RE टीम के ज़ुक्सियान जियांग: CVE-2017-0526, CVE-2017-0527
  • युकी लू ( @nikos233 ), वेन्के डू , दचेंग शाओ , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0483
  • चेंगदू सिक्योरिटी रिस्पांस सेंटर, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान ( weibo.com/ele7enxxh ): CVE-2017-0475, CVE-2017-0497

2017-03-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-03-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

ओपनएसएसएल और बोरिंगएसएसएल में रिमोट कोड निष्पादन भेद्यता

ओपनएसएसएल और बोरिंगएसएसएल में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-2182 ए-32096880 गंभीर सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 5 अगस्त 2016

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0466 ए-33139050 [ 2 ] गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 25 नवंबर 2016
सीवीई-2017-0467 ए-33250932 [ 2 ] गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 30 नवंबर 2016
सीवीई-2017-0468 ए-33351708 [ 2 ] गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 5 दिसंबर 2016
सीवीई-2017-0469 ए-33450635 गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 8 दिसंबर 2016
सीवीई-2017-0470 ए-33818500 गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 21 दिसंबर 2016
सीवीई-2017-0471 ए-33816782 गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 21 दिसंबर 2016
सीवीई-2017-0472 ए-33862021 गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 23 दिसम्बर 2016
सीवीई-2017-0473 ए-33982658 गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 30 दिसंबर 2016
सीवीई-2017-0474 ए-32589224 गंभीर सभी 7.0, 7.1.1 गूगल आंतरिक

पुनर्प्राप्ति सत्यापनकर्ता में विशेषाधिकार भेद्यता का बढ़ना

पुनर्प्राप्ति सत्यापनकर्ता में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0475 ए-31914369 गंभीर सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 अक्टूबर 2016

AOSP मैसेजिंग में रिमोट कोड निष्पादन भेद्यता

एओएसपी मैसेजिंग में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। एक विशेषाधिकार रहित प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0476 ए-33388925 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 6 दिसंबर 2016

libgdx में रिमोट कोड निष्पादन भेद्यता

Libgdx में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0477 ए-33621647 उच्च सभी 7.1.1 14 दिसंबर 2016

फ़्रेमसीक्वेंस लाइब्रेरी में रिमोट कोड निष्पादन भेद्यता

फ़्रेमसीक्वेंस लाइब्रेरी में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। फ़्रेमसीक्वेंस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0478 ए-33718716 उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 16 दिसंबर 2016

एनएफसी में विशेषाधिकार भेद्यता का बढ़ना

एनएफसी में विशेषाधिकार भेद्यता का बढ़ना एक निकटतम हमलावर को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0481 ए-33434992 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 नवंबर 2016

ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना

ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0479 ए-32707507 [ 2 ] उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 नवंबर 2016
सीवीई-2017-0480 ए-32705429 [ 2 ] उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 7 नवंबर 2016

मीडियासर्वर में सेवा भेद्यता का खंडन

मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0482 ए-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 22 नवंबर 2016
सीवीई-2017-0483 ए-33137046 [ 2 ] उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 24 नवंबर 2016
सीवीई-2017-0484 ए-33298089 [ 2 ] उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 1 दिसंबर 2016
सीवीई-2017-0485 ए-33387820 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 6 दिसंबर 2016
सीवीई-2017-0486 ए-33621215 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 14 दिसंबर 2016
सीवीई-2017-0487 ए-33751193 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 19 दिसंबर 2016
सीवीई-2017-0488 ए-34097213 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

स्थान प्रबंधक में विशेषाधिकार भेद्यता का बढ़ना

स्थान प्रबंधक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को स्थान डेटा के लिए ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग गलत डेटा उत्पन्न करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0489 ए-33091107 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 नवंबर 2016

वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना

वाई-फाई में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन उपयोगकर्ता डेटा को हटाने में सक्षम हो सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है जिसके लिए आम तौर पर उपयोगकर्ता पहल या उपयोगकर्ता की अनुमति की आवश्यकता होगी।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0490 ए-33178389 [ 2 ] [ 3 ] मध्यम सभी 6.0, 6.0.1, 7.0, 7.1.1 25 नवंबर 2016

पैकेज मैनेजर में विशेषाधिकार भेद्यता का बढ़ना

पैकेज प्रबंधक में विशेषाधिकार भेद्यता का बढ़ना उपयोगकर्ताओं को एप्लिकेशन अनइंस्टॉल करने या एप्लिकेशन से अनुमतियाँ हटाने से रोकने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0491 ए-32553261 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

सिस्टम यूआई में विशेषाधिकार भेद्यता का बढ़ना

सिस्टम यूआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को संपूर्ण स्क्रीन को कवर करने वाला यूआई ओवरले बनाने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है जिसके लिए आम तौर पर उपयोगकर्ता पहल या उपयोगकर्ता की अनुमति की आवश्यकता होगी।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0492 ए-30150688 मध्यम सभी 7.1.1 गूगल आंतरिक

AOSP मैसेजिंग में सूचना प्रकटीकरण भेद्यता

एओएसपी मैसेजिंग में सूचना प्रकटीकरण भेद्यता एक दूरस्थ हमलावर को एक विशेष तैयार की गई फ़ाइल का उपयोग करके उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0494 ए-32764144 मध्यम सभी 6.0, 6.0.1, 7.0, 7.1.1 9 नवंबर 2016

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0495 ए-33552073 मध्यम सभी 6.0, 6.0.1, 7.0, 7.1.1 11 दिसंबर 2016

सेटअप विज़ार्ड में सेवा भेद्यता का खंडन

सेटअप विज़ार्ड में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को प्रभावित डिवाइस तक पहुंच को अस्थायी रूप से अवरुद्ध करने की अनुमति दे सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि डिवाइस को सुधारने के लिए फ़ैक्टरी रीसेट की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0496 ए-31554152* मध्यम कोई नहीं** 5.0.2, 5.1.1, 6.0, 6.0.1 सितम्बर 14, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

मीडियासर्वर में सेवा भेद्यता का खंडन

मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसके लिए एक असामान्य डिवाइस कॉन्फ़िगरेशन की आवश्यकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0497 ए-33300701 मध्यम सभी 7.0, 7.1.1 2 दिसंबर 2016

सेटअप विज़ार्ड में सेवा भेद्यता का खंडन

सेटअप विज़ार्ड में सेवा भेद्यता से इनकार करने से स्थानीय हमलावर को फ़ैक्टरी रीसेट के बाद Google खाते में साइन-इन की आवश्यकता हो सकती है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि डिवाइस को सुधारने के लिए फ़ैक्टरी रीसेट की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0498 ए-30352311 [ 2 ] मध्यम सभी 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

ऑडियोसर्वर में सेवा भेद्यता का खंडन

ऑडियोसर्वर में सेवा से इनकार की भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकती है। सेवा के अस्थायी अस्वीकरण की संभावना के कारण इस समस्या को निम्न श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0499 ए-32095713 कम सभी 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 11 अक्टूबर 2016

2017-03-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-03-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियाटेक घटकों में विशेषाधिकार भेद्यता का बढ़ना

M4U ड्राइवर, साउंड ड्राइवर, टचस्क्रीन ड्राइवर, GPU ड्राइवर और कमांड क्यू ड्राइवर सहित मीडियाटेक घटकों में विशेषाधिकार भेद्यता का बढ़ना, स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0500 ए-28429685*
एम-एएलपीएस02710006
गंभीर कोई नहीं** अप्रैल 27, 2016
सीवीई-2017-0501 ए-28430015*
एम-एएलपीएस02708983
गंभीर कोई नहीं** अप्रैल 27, 2016
सीवीई-2017-0502 ए-28430164*
एम-एएलपीएस02710027
गंभीर कोई नहीं** अप्रैल 27, 2016
सीवीई-2017-0503 ए-28449045*
एम-एएलपीएस02710075
गंभीर कोई नहीं** अप्रैल 28, 2016
सीवीई-2017-0504 ए-30074628*
एम-एएलपीएस02829371
गंभीर कोई नहीं** 9 जुलाई 2016
सीवीई-2017-0505 ए-31822282*
एम-एएलपीएस02992041
गंभीर कोई नहीं** सितम्बर 28, 2016
सीवीई-2017-0506 ए-32276718*
एम-एएलपीएस03006904
गंभीर कोई नहीं** 18 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0337 ए-31992762*
एन-सीवीई-2017-0337
गंभीर पिक्सेल सी 6 अक्टूबर 2016
सीवीई-2017-0338 ए-33057977*
एन-सीवीई-2017-0338
गंभीर पिक्सेल सी 21 नवंबर 2016
सीवीई-2017-0333 ए-33899363*
एन-सीवीई-2017-0333
गंभीर पिक्सेल सी 25 दिसंबर 2016
सीवीई-2017-0306 ए-34132950*
एन-सीवीई-2017-0306
गंभीर नेक्सस 9 6 जनवरी 2017
सीवीई-2017-0335 ए-33043375*
एन-सीवीई-2017-0335
गंभीर पिक्सेल सी गूगल आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0507 ए-31992382* गंभीर Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Pixel, Pixel XL 6 अक्टूबर 2016
सीवीई-2017-0508 ए-33940449* गंभीर पिक्सेल सी 28 दिसंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0509 ए-32124445*
बी-आरबी#110688
गंभीर कोई नहीं** 12 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

कर्नेल FIQ डिबगर में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल FIQ डिबगर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0510 ए-32402555* गंभीर नेक्सस 9 25 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8479 ए-31824853*
क्यूसी-सीआर#1093687
गंभीर Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL सितम्बर 29, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-9806 ए-33393474
अपस्ट्रीम कर्नेल
गंभीर पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल 4 दिसंबर 2016
सीवीई-2016-10200 ए-33753815
अपस्ट्रीम कर्नेल
गंभीर Nexus 5X, Nexus 6P, Pixel, Pixel XL 19 दिसंबर 2016

क्वालकॉम घटकों में कमजोरियाँ

निम्नलिखित भेद्यता क्वालकॉम घटकों को प्रभावित करती है और क्वालकॉम एएमएसएस सितंबर 2016 सुरक्षा बुलेटिन में आगे विस्तार से वर्णित है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8484 ए-28823575** गंभीर कोई नहीं*** क्वालकॉम आंतरिक
सीवीई-2016-8485 ए-28823681** गंभीर कोई नहीं*** क्वालकॉम आंतरिक
सीवीई-2016-8486 ए-28823691** गंभीर कोई नहीं*** क्वालकॉम आंतरिक
सीवीई-2016-8487 ए-28823724** गंभीर कोई नहीं*** क्वालकॉम आंतरिक
सीवीई-2016-8488 ए-31625756** गंभीर कोई नहीं*** क्वालकॉम आंतरिक

* इन कमजोरियों की गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

*** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8655 ए-33358926
अपस्ट्रीम कर्नेल
उच्च Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Pixel, Pixel XL 12 अक्टूबर 2016
सीवीई-2016-9793 ए-33363517
अपस्ट्रीम कर्नेल
उच्च Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Pixel, Pixel XL 2 दिसंबर 2016

क्वालकॉम इनपुट हार्डवेयर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम इनपुट हार्डवेयर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0516 ए-32341680*
क्यूसी-सीआर#1096301
उच्च एंड्रॉइड वन, पिक्सेल, पिक्सेल एक्सएल 21 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियाटेक हार्डवेयर सेंसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक हार्डवेयर सेंसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0517 ए-32372051*
एम-एएलपीएस02973195
उच्च कोई नहीं** 22 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम ADSPRPC ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम ADSPRPC ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0457 ए-31695439*
क्यूसी-सीआर#1086123
क्यूसी-सीआर#1100695
उच्च Nexus 5X, Nexus 6P, Pixel, Pixel XL सितम्बर 22, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम फ़िंगरप्रिंट सेंसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम फ़िंगरप्रिंट सेंसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0518 ए-32370896*
क्यूसी-सीआर#1086530
उच्च पिक्सेल, पिक्सेल एक्सएल 24 अक्टूबर 2016
सीवीई-2017-0519 ए-32372915*
क्यूसी-सीआर#1086530
उच्च पिक्सेल, पिक्सेल एक्सएल 24 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0520 ए-31750232
क्यूसी-सीआर#1082636
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL सितम्बर 24, 2016

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0458 ए-32588962
क्यूसी-सीआर#1089433
उच्च पिक्सेल, पिक्सेल एक्सएल 31 अक्टूबर 2016
सीवीई-2017-0521 ए-32919951
क्यूसी-सीआर#1097709
उच्च Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 15 नवंबर 2016

मीडियाटेक एपीके में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक एपीके में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। विशेषाधिकार प्राप्त प्रक्रिया में स्थानीय मनमाने ढंग से कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0522 ए-32916158*
एम-एएलपीएस03032516
उच्च कोई नहीं** 15 नवंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0464 ए-32940193
क्यूसी-सीआर#1102593
उच्च नेक्सस 5X, पिक्सेल, पिक्सेल XL 15 नवंबर 2016
सीवीई-2017-0453 ए-33979145
क्यूसी-सीआर#1105085
उच्च नेक्सस 5एक्स, एंड्रॉइड वन 30 दिसंबर 2016
सीवीई-2017-0523 ए-32835279
क्यूसी-सीआर#1096945
उच्च कोई नहीं* गूगल आंतरिक

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0524 ए-33002026 उच्च Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL 18 नवंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0456 ए-33106520*
क्यूसी-सीआर#1099598
उच्च Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 23 नवंबर 2016
सीवीई-2017-0525 ए-33139056*
क्यूसी-सीआर#1097714
उच्च Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL 25 नवंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

एचटीसी सेंसर हब ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

एचटीसी सेंसर हब ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0526 ए-33897738* उच्च नेक्सस 9 25 दिसंबर 2016
सीवीई-2017-0527 ए-33899318* उच्च नेक्सस 9, पिक्सेल, पिक्सेल एक्सएल 25 दिसंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0307 ए-33177895*
एन-सीवीई-2017-0307
उच्च कोई नहीं** 28 नवंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0463 ए-33277611
क्यूसी-सीआर#1101792
उच्च Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 30 नवंबर 2016
सीवीई-2017-0460 ए-31252965*
क्यूसी-सीआर#1098801
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL गूगल आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह गहराई या शोषण शमन तकनीक में कर्नेल स्तर की रक्षा के लिए एक सामान्य बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0528 ए-33351919* उच्च पिक्सेल, पिक्सेल एक्सएल 4 दिसंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम एसपीकॉम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम एसपीकॉम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-5856 ए-32610665
क्यूसी-सीआर#1094078
उच्च कोई नहीं* गूगल आंतरिक
सीवीई-2016-5857 ए-34386529
क्यूसी-सीआर#1094140
उच्च कोई नहीं* गूगल आंतरिक

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता

कर्नेल नेटवर्किंग सबसिस्टम में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय निकटतम हमलावर को संवेदनशील जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-8709 ए-34077221
अपस्ट्रीम कर्नेल
उच्च नेक्सस प्लेयर 9 नवंबर 2014

मीडियाटेक ड्राइवर में सूचना प्रकटीकरण भेद्यता

मीडियाटेक ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0529 ए-28449427*
एम-एएलपीएस02710042
उच्च कोई नहीं** अप्रैल 27, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम बूटलोडर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम बूटलोडर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को बूटलोडर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम बनाने में मदद कर सकती है। इस समस्या को उच्च श्रेणी का दर्जा दिया गया है क्योंकि यह गहराई में बूटलोडर स्तर की रक्षा या शोषण शमन तकनीक के लिए एक सामान्य बाईपास है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0455 ए-32370952
क्यूसी-सीआर#1082755
उच्च पिक्सेल, पिक्सेल एक्सएल 21 अक्टूबर 2016

क्वालकॉम पावर ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम पावर ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8483 ए-33745862
क्यूसी-सीआर#1035099
उच्च नेक्सस 5एक्स, नेक्सस 6पी 19 दिसंबर 2016

NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0334 ए-33245849*
एन-सीवीई-2017-0334
उच्च पिक्सेल सी 30 नवंबर 2016
सीवीई-2017-0336 ए-33042679*
एन-सीवीई-2017-0336
उच्च पिक्सेल सी गूगल आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल क्रिप्टोग्राफ़िक सबसिस्टम में सेवा भेद्यता का खंडन

कर्नेल क्रिप्टोग्राफ़िक सबसिस्टम में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार किए गए नेटवर्क पैकेट का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8650 ए-33401771
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6P, Pixel, Pixel XL 12 अक्टूबर 2016

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना (डिवाइस विशिष्ट)

क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा इसे कम किया जाता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8417 ए-32342399
क्यूसी-सीआर#1088824
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 21 अक्टूबर 2016

क्वालकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0461 ए-32073794
क्यूसी-सीआर#1100132
मध्यम Android One, Nexus 5X, Pixel, Pixel XL 9 अक्टूबर 2016
सीवीई-2017-0459 ए-32644895
क्यूसी-सीआर#1091939
मध्यम पिक्सेल, पिक्सेल एक्सएल 3 नवंबर 2016
सीवीई-2017-0531 ए-32877245
क्यूसी-सीआर#1087469
मध्यम Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL 13 नवंबर 2016

मीडियाटेक वीडियो कोडेक ड्राइवर में सूचना प्रकटीकरण भेद्यता

मीडियाटेक वीडियो कोडेक ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0532 ए-32370398*
एम-एएलपीएस03069985
मध्यम कोई नहीं** 22 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0533 ए-32509422
क्यूसी-सीआर#1088206
मध्यम पिक्सेल, पिक्सेल एक्सएल 27 अक्टूबर 2016
सीवीई-2017-0534 ए-32508732
क्यूसी-सीआर#1088206
मध्यम पिक्सेल, पिक्सेल एक्सएल 28 अक्टूबर 2016
सीवीई-2016-8416 ए-32510746
क्यूसी-सीआर#1088206
मध्यम पिक्सेल, पिक्सेल एक्सएल 28 अक्टूबर 2016
सीवीई-2016-8478 ए-32511270
क्यूसी-सीआर#1088206
मध्यम पिक्सेल, पिक्सेल एक्सएल 28 अक्टूबर 2016

क्वालकॉम कैमरा ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम कैमरा ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8413 ए-32709702
क्यूसी-सीआर#518731
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 4 नवंबर 2016
सीवीई-2016-8477 ए-32720522
क्यूसी-सीआर#1090007 [ 2 ]
मध्यम Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL 7 नवंबर 2016

एचटीसी ध्वनि कोडेक ड्राइवर में सूचना प्रकटीकरण भेद्यता

एचटीसी साउंड कोडेक ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0535 ए-33547247* मध्यम नेक्सस 9 11 दिसंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

सिनैप्टिक्स टचस्क्रीन ड्राइवर में सूचना प्रकटीकरण भेद्यता

सिनैप्टिक्स टचस्क्रीन ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0536 ए-33555878* मध्यम Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL 12 दिसंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल USB गैजेट ड्राइवर में सूचना प्रकटीकरण भेद्यता

कर्नेल यूएसबी गैजेट ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0537 ए-31614969* मध्यम पिक्सेल सी गूगल आंतरिक

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम कैमरा ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम कैमरा ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को निम्न रेटिंग दी गई है क्योंकि इसके लिए सबसे पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0452 ए-32873615*
क्यूसी-सीआर#1093693
कम नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन 10 नवंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।

  • 2017-03-01 या बाद के सुरक्षा पैच स्तर 2017-03-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2017-03-05 या बाद के सुरक्षा पैच स्तर 2017-03-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2017-03-01]
  • [ro.build.version.security_patch]:[2017-03-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 1 मार्च, 2017 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
  • जो डिवाइस 5 मार्च, 2017 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?

2017-03-01 और 2017-03-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड Google डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी Google डिवाइस : यदि कोई समस्या सभी और पिक्सेल डिवाइसों को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "सभी" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel C, Pixel, और Pixel XL।
  • कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई Google डिवाइस नहीं : यदि Android 7.0 पर चलने वाला कोई भी Google डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" होगा।

4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

संशोधन

  • 06 मार्च 2017: बुलेटिन प्रकाशित.
  • 07 मार्च, 2017: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।