06 मार्च 2017 को प्रकाशित | 07 मार्च, 2017 को अपडेट किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से Google उपकरणों के लिए एक सुरक्षा अपडेट भी जारी किया है। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 मार्च, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 06 फरवरी, 2017 या उससे पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।
हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।
घोषणाएं
- इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2017-03-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-03-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2017-03-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-03-01 और 2017-03-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- समर्थित Google उपकरणों को 05 मार्च, 2017 सुरक्षा पैच स्तर के साथ एक एकल OTA अपडेट प्राप्त होगा।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
- जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
- Google डायनामिक टूल्स टीम के अलेक्जेंडर पोटापेंको: CVE-2017-0537
- अलीबाबा मोबाइल सुरक्षा समूह के बाओज़ेंग डिंग, चेंगमिंग यांग, पेंग जिओ और यांग सॉन्ग: CVE-2017-0506
- अलीबाबा मोबाइल सुरक्षा समूह के बाओज़ेंग डिंग, निंग यू, चेंगमिंग यांग, पेंग जिओ और यांग सॉन्ग: CVE-2017-0463
- Android सुरक्षा के बिली लाउ: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
- डेरेक ( @derrekr6 ): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
- डेरेक ( @derrekr6 ) और स्कॉट बाउर ( @ScottyBauer1 ): CVE-2017-0521
- कीनलैब के डि शेन ( @returnsme ), टेनसेंट: CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE- 2017-0525
- एन हे ( @heeeeen4x ) और MS509Team के बो लियू: CVE-2017-0490
- गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2017-0500, सीवीई-2017-0501, सीवीई-2017-0502, सीवीई-2017-0503, सीवीई-2017-0509, सीवीई-2017-0524, सीवीई-2017-0529, सीवीई-2017-0536
- अल्फा टीम के हाओ चेन और गुआंग गोंग, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
- सोनी मोबाइल कम्युनिकेशंस इंक के हिरोकी यामामोटो और फैंग चेन: CVE-2017-0481
- आईबीएम सुरक्षा एक्स-फोर्स शोधकर्ता सागी केडमी और रोई हे: सीवीई-2017-0510
- Qihoo 360 स्काईआई लैब्स के जियानजुन दाई ( @Jioun_dai ) : CVE-2017-0478
- जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब, किहू 360 के पीजेएफ : सीवीई-2016-8416, सीवीई-2016-8478, सीवीई-2017-0458, सीवीई-2017-0459, सीवीई-2017-0518, सीवीई-2017-0519 , सीवीई-2017-0533, सीवीई-2017-0534
- लुबो झांग , टोंग लिन , युआन-त्सुंग लो , और सी0आरई टीम के ज़ुक्सियान जियांग: सीवीई-2016-8479
- Google के Makoto Onuki: CVE-2017-0491
- मिंगजियन झोउ ( @Mingjian_Zhou ), हानक्सियांग वेन , और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0479, CVE-2017-0480
- नाथन क्रैन्डल ( @नेटक्रे ): सीवीई-2017-0535
- टेस्ला मोटर्स उत्पाद सुरक्षा टीम के नाथन क्रैन्डल ( @नेटक्रे ): CVE-2017-0306
- पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब के लेनक्स वेई (韦韬) (百度安全实验室): CVE-2016-8417
- कीनलैब, टेनसेंट के क़िदान हे (何淇丹) ( @flanker_hqd ): CVE-2017-0337, CVE-2017-0476
- क्यूहू 360 के किंग झांग और सिंगापुर इंस्टीट्यूट ऑफ टेक्नोलॉजी (एसआईटी) के गुआंगडोंग बाई: सीवीई-2017-0496
- एंट-फाइनेंशियल लाइट-ईयर सिक्योरिटी लैब (蚂蚁金服巴斯光年安全实验室) के क्यूहे और वांचौचौ: सीवीई-2017-0522
- डार्कमैटर में सुरक्षित संचार का सहारा : CVE-2017-0528
- शेलफ़िश ग्रिल टीम के सैल्स ( @chris_salls ), यूसी सांता बारबरा: CVE-2017-0505
- स्कॉट बाउर ( @ScottyBauer1 ): CVE-2017-0504, CVE-2017-0516
- शॉन ब्यूप्रे (ब्यूप्स): सीवीई-2017-0455
- ट्रेंड माइक्रो के सेवन शेन ( @lingtongshen ): CVE-2017-0452
- फुजित्सु के शिनिची मात्सुमोतो: CVE-2017-0498
- बाइटरेव के स्टीफ़न मार्क्स : CVE-2017-0489
- Google के स्वेतोस्लाव गानोव: CVE-2017-0492
- टोंग लिन , युआन-त्सुंग लो , और सी0आरई टीम के ज़ुक्सियान जियांग: सीवीई-2017-0333
- मोबाइल थ्रेट रिस्पांस टीम के वीईओ ( @VYSEa ), ट्रेंड माइक्रो : CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, सीवीई-2017-0472, सीवीई-2017-0473, सीवीई-2017-0482, सीवीई-2017-0484, सीवीई-2017-0485, सीवीई-2017-0486, सीवीई-2017-0487, सीवीई-2017-0494, सीवीई- 2017-0495
- एंट-फाइनेंशियल लाइट-ईयर सिक्योरिटी लैब के विश वू (吴潍浠 此彼) ( @wish_wu ) (蚂蚁金服巴斯光年安全实验室): CVE-2017-0477
- वुल्पेकर टीम के यू पैन, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2017-0517, सीवीई-2017-0532
- युआन-त्सुंग लो , और C0RE टीम के ज़ुक्सियान जियांग: CVE-2017-0526, CVE-2017-0527
- युकी लू ( @nikos233 ), वेन्के डू , दचेंग शाओ , मिंगजियन झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग: CVE-2017-0483
- चेंगदू सिक्योरिटी रिस्पांस सेंटर, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान ( weibo.com/ele7enxxh ): CVE-2017-0475, CVE-2017-0497
2017-03-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-03-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
ओपनएसएसएल और बोरिंगएसएसएल में रिमोट कोड निष्पादन भेद्यता
ओपनएसएसएल और बोरिंगएसएसएल में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2016-2182 | ए-32096880 | गंभीर | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 5 अगस्त 2016 |
मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता
मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0466 | ए-33139050 [ 2 ] | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 25 नवंबर 2016 |
| सीवीई-2017-0467 | ए-33250932 [ 2 ] | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 30 नवंबर 2016 |
| सीवीई-2017-0468 | ए-33351708 [ 2 ] | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 5 दिसंबर 2016 |
| सीवीई-2017-0469 | ए-33450635 | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 8 दिसंबर 2016 |
| सीवीई-2017-0470 | ए-33818500 | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 21 दिसंबर 2016 |
| सीवीई-2017-0471 | ए-33816782 | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 21 दिसंबर 2016 |
| सीवीई-2017-0472 | ए-33862021 | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 23 दिसम्बर 2016 |
| सीवीई-2017-0473 | ए-33982658 | गंभीर | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 30 दिसंबर 2016 |
| सीवीई-2017-0474 | ए-32589224 | गंभीर | सभी | 7.0, 7.1.1 | गूगल आंतरिक |
पुनर्प्राप्ति सत्यापनकर्ता में विशेषाधिकार भेद्यता का बढ़ना
पुनर्प्राप्ति सत्यापनकर्ता में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0475 | ए-31914369 | गंभीर | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 अक्टूबर 2016 |
AOSP मैसेजिंग में रिमोट कोड निष्पादन भेद्यता
एओएसपी मैसेजिंग में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। एक विशेषाधिकार रहित प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0476 | ए-33388925 | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 6 दिसंबर 2016 |
libgdx में रिमोट कोड निष्पादन भेद्यता
Libgdx में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है। इस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0477 | ए-33621647 | उच्च | सभी | 7.1.1 | 14 दिसंबर 2016 |
फ़्रेमसीक्वेंस लाइब्रेरी में रिमोट कोड निष्पादन भेद्यता
फ़्रेमसीक्वेंस लाइब्रेरी में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक अप्रकाशित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। फ़्रेमसीक्वेंस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0478 | ए-33718716 | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 16 दिसंबर 2016 |
एनएफसी में विशेषाधिकार भेद्यता का बढ़ना
एनएफसी में विशेषाधिकार भेद्यता का बढ़ना एक निकटतम हमलावर को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0481 | ए-33434992 | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 नवंबर 2016 |
ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना
ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0479 | ए-32707507 [ 2 ] | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर 2016 |
| सीवीई-2017-0480 | ए-32705429 [ 2 ] | उच्च | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर 2016 |
मीडियासर्वर में सेवा भेद्यता का खंडन
मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0482 | ए-33090864 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 22 नवंबर 2016 |
| सीवीई-2017-0483 | ए-33137046 [ 2 ] | उच्च | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 नवंबर 2016 |
| सीवीई-2017-0484 | ए-33298089 [ 2 ] | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 1 दिसंबर 2016 |
| सीवीई-2017-0485 | ए-33387820 | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 6 दिसंबर 2016 |
| सीवीई-2017-0486 | ए-33621215 | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 14 दिसंबर 2016 |
| सीवीई-2017-0487 | ए-33751193 | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 19 दिसंबर 2016 |
| सीवीई-2017-0488 | ए-34097213 | उच्च | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | गूगल आंतरिक |
स्थान प्रबंधक में विशेषाधिकार भेद्यता का बढ़ना
स्थान प्रबंधक में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को स्थान डेटा के लिए ऑपरेटिंग सिस्टम सुरक्षा को बायपास करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग गलत डेटा उत्पन्न करने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0489 | ए-33091107 | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 नवंबर 2016 |
वाई-फाई में विशेषाधिकार भेद्यता का बढ़ना
वाई-फाई में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन उपयोगकर्ता डेटा को हटाने में सक्षम हो सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है जिसके लिए आम तौर पर उपयोगकर्ता पहल या उपयोगकर्ता की अनुमति की आवश्यकता होगी।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0490 | ए-33178389 [ 2 ] [ 3 ] | मध्यम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 25 नवंबर 2016 |
पैकेज मैनेजर में विशेषाधिकार भेद्यता का बढ़ना
पैकेज प्रबंधक में विशेषाधिकार भेद्यता का बढ़ना उपयोगकर्ताओं को एप्लिकेशन अनइंस्टॉल करने या एप्लिकेशन से अनुमतियाँ हटाने से रोकने के लिए एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0491 | ए-32553261 | मध्यम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | गूगल आंतरिक |
सिस्टम यूआई में विशेषाधिकार भेद्यता का बढ़ना
सिस्टम यूआई में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को संपूर्ण स्क्रीन को कवर करने वाला यूआई ओवरले बनाने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि यह उपयोगकर्ता इंटरैक्शन आवश्यकताओं का एक स्थानीय बाईपास है जिसके लिए आम तौर पर उपयोगकर्ता पहल या उपयोगकर्ता की अनुमति की आवश्यकता होगी।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0492 | ए-30150688 | मध्यम | सभी | 7.1.1 | गूगल आंतरिक |
AOSP मैसेजिंग में सूचना प्रकटीकरण भेद्यता
एओएसपी मैसेजिंग में सूचना प्रकटीकरण भेद्यता एक दूरस्थ हमलावर को एक विशेष तैयार की गई फ़ाइल का उपयोग करके उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0494 | ए-32764144 | मध्यम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 9 नवंबर 2016 |
मीडियासर्वर में सूचना प्रकटीकरण भेद्यता
मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के संवेदनशील डेटा तक पहुँचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0495 | ए-33552073 | मध्यम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 11 दिसंबर 2016 |
सेटअप विज़ार्ड में सेवा भेद्यता का खंडन
सेटअप विज़ार्ड में सेवा भेद्यता से इनकार एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को प्रभावित डिवाइस तक पहुंच को अस्थायी रूप से अवरुद्ध करने की अनुमति दे सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि डिवाइस को सुधारने के लिए फ़ैक्टरी रीसेट की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0496 | ए-31554152* | मध्यम | कोई नहीं** | 5.0.2, 5.1.1, 6.0, 6.0.1 | सितम्बर 14, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध Google उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
मीडियासर्वर में सेवा भेद्यता का खंडन
मीडियासर्वर में सेवा भेद्यता का खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि इसके लिए एक असामान्य डिवाइस कॉन्फ़िगरेशन की आवश्यकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0497 | ए-33300701 | मध्यम | सभी | 7.0, 7.1.1 | 2 दिसंबर 2016 |
सेटअप विज़ार्ड में सेवा भेद्यता का खंडन
सेटअप विज़ार्ड में सेवा भेद्यता से इनकार करने से स्थानीय हमलावर को फ़ैक्टरी रीसेट के बाद Google खाते में साइन-इन की आवश्यकता हो सकती है। इस समस्या को मध्यम रेटिंग दी गई है क्योंकि डिवाइस को सुधारने के लिए फ़ैक्टरी रीसेट की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0498 | ए-30352311 [ 2 ] | मध्यम | सभी | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | गूगल आंतरिक |
ऑडियोसर्वर में सेवा भेद्यता का खंडन
ऑडियोसर्वर में सेवा से इनकार की भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को डिवाइस को हैंग करने या रीबूट करने में सक्षम कर सकती है। सेवा के अस्थायी अस्वीकरण की संभावना के कारण इस समस्या को निम्न श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | अद्यतन AOSP संस्करण | दिनांक सूचित किया गया |
|---|---|---|---|---|---|
| सीवीई-2017-0499 | ए-32095713 | कम | सभी | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 अक्टूबर 2016 |
2017-03-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-03-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
मीडियाटेक घटकों में विशेषाधिकार भेद्यता का बढ़ना
M4U ड्राइवर, साउंड ड्राइवर, टचस्क्रीन ड्राइवर, GPU ड्राइवर और कमांड क्यू ड्राइवर सहित मीडियाटेक घटकों में विशेषाधिकार भेद्यता का बढ़ना, स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0500 | ए-28429685* एम-एएलपीएस02710006 | गंभीर | कोई नहीं** | अप्रैल 27, 2016 |
| सीवीई-2017-0501 | ए-28430015* एम-एएलपीएस02708983 | गंभीर | कोई नहीं** | अप्रैल 27, 2016 |
| सीवीई-2017-0502 | ए-28430164* एम-एएलपीएस02710027 | गंभीर | कोई नहीं** | अप्रैल 27, 2016 |
| सीवीई-2017-0503 | ए-28449045* एम-एएलपीएस02710075 | गंभीर | कोई नहीं** | अप्रैल 28, 2016 |
| सीवीई-2017-0504 | ए-30074628* एम-एएलपीएस02829371 | गंभीर | कोई नहीं** | 9 जुलाई 2016 |
| सीवीई-2017-0505 | ए-31822282* एम-एएलपीएस02992041 | गंभीर | कोई नहीं** | सितम्बर 28, 2016 |
| सीवीई-2017-0506 | ए-32276718* एम-एएलपीएस03006904 | गंभीर | कोई नहीं** | 18 अक्टूबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0337 | ए-31992762* एन-सीवीई-2017-0337 | गंभीर | पिक्सेल सी | 6 अक्टूबर 2016 |
| सीवीई-2017-0338 | ए-33057977* एन-सीवीई-2017-0338 | गंभीर | पिक्सेल सी | 21 नवंबर 2016 |
| सीवीई-2017-0333 | ए-33899363* एन-सीवीई-2017-0333 | गंभीर | पिक्सेल सी | 25 दिसंबर 2016 |
| सीवीई-2017-0306 | ए-34132950* एन-सीवीई-2017-0306 | गंभीर | नेक्सस 9 | 6 जनवरी 2017 |
| सीवीई-2017-0335 | ए-33043375* एन-सीवीई-2017-0335 | गंभीर | पिक्सेल सी | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0507 | ए-31992382* | गंभीर | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Pixel, Pixel XL | 6 अक्टूबर 2016 |
| सीवीई-2017-0508 | ए-33940449* | गंभीर | पिक्सेल सी | 28 दिसंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0509 | ए-32124445* बी-आरबी#110688 | गंभीर | कोई नहीं** | 12 अक्टूबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
कर्नेल FIQ डिबगर में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल FIQ डिबगर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0510 | ए-32402555* | गंभीर | नेक्सस 9 | 25 अक्टूबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम जीपीयू ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8479 | ए-31824853* क्यूसी-सीआर#1093687 | गंभीर | Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | सितम्बर 29, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-9806 | ए-33393474 अपस्ट्रीम कर्नेल | गंभीर | पिक्सेल सी, पिक्सेल, पिक्सेल एक्सएल | 4 दिसंबर 2016 |
| सीवीई-2016-10200 | ए-33753815 अपस्ट्रीम कर्नेल | गंभीर | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 19 दिसंबर 2016 |
क्वालकॉम घटकों में कमजोरियाँ
निम्नलिखित भेद्यता क्वालकॉम घटकों को प्रभावित करती है और क्वालकॉम एएमएसएस सितंबर 2016 सुरक्षा बुलेटिन में आगे विस्तार से वर्णित है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8484 | ए-28823575** | गंभीर | कोई नहीं*** | क्वालकॉम आंतरिक |
| सीवीई-2016-8485 | ए-28823681** | गंभीर | कोई नहीं*** | क्वालकॉम आंतरिक |
| सीवीई-2016-8486 | ए-28823691** | गंभीर | कोई नहीं*** | क्वालकॉम आंतरिक |
| सीवीई-2016-8487 | ए-28823724** | गंभीर | कोई नहीं*** | क्वालकॉम आंतरिक |
| सीवीई-2016-8488 | ए-31625756** | गंभीर | कोई नहीं*** | क्वालकॉम आंतरिक |
* इन कमजोरियों की गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
*** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल नेटवर्किंग सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8655 | ए-33358926 अपस्ट्रीम कर्नेल | उच्च | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Pixel, Pixel XL | 12 अक्टूबर 2016 |
| सीवीई-2016-9793 | ए-33363517 अपस्ट्रीम कर्नेल | उच्च | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus प्लेयर, Pixel C, Pixel, Pixel XL | 2 दिसंबर 2016 |
क्वालकॉम इनपुट हार्डवेयर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम इनपुट हार्डवेयर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0516 | ए-32341680* क्यूसी-सीआर#1096301 | उच्च | एंड्रॉइड वन, पिक्सेल, पिक्सेल एक्सएल | 21 अक्टूबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
मीडियाटेक हार्डवेयर सेंसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
मीडियाटेक हार्डवेयर सेंसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0517 | ए-32372051* एम-एएलपीएस02973195 | उच्च | कोई नहीं** | 22 अक्टूबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
क्वालकॉम ADSPRPC ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम ADSPRPC ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0457 | ए-31695439* क्यूसी-सीआर#1086123 क्यूसी-सीआर#1100695 | उच्च | Nexus 5X, Nexus 6P, Pixel, Pixel XL | सितम्बर 22, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम फ़िंगरप्रिंट सेंसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम फ़िंगरप्रिंट सेंसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0518 | ए-32370896* क्यूसी-सीआर#1086530 | उच्च | पिक्सेल, पिक्सेल एक्सएल | 24 अक्टूबर 2016 |
| सीवीई-2017-0519 | ए-32372915* क्यूसी-सीआर#1086530 | उच्च | पिक्सेल, पिक्सेल एक्सएल | 24 अक्टूबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0520 | ए-31750232 क्यूसी-सीआर#1082636 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | सितम्बर 24, 2016 |
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0458 | ए-32588962 क्यूसी-सीआर#1089433 | उच्च | पिक्सेल, पिक्सेल एक्सएल | 31 अक्टूबर 2016 |
| सीवीई-2017-0521 | ए-32919951 क्यूसी-सीआर#1097709 | उच्च | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 15 नवंबर 2016 |
मीडियाटेक एपीके में विशेषाधिकार भेद्यता का बढ़ना
मीडियाटेक एपीके में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। विशेषाधिकार प्राप्त प्रक्रिया में स्थानीय मनमाने ढंग से कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0522 | ए-32916158* एम-एएलपीएस03032516 | उच्च | कोई नहीं** | 15 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0464 | ए-32940193 क्यूसी-सीआर#1102593 | उच्च | नेक्सस 5X, पिक्सेल, पिक्सेल XL | 15 नवंबर 2016 |
| सीवीई-2017-0453 | ए-33979145 क्यूसी-सीआर#1105085 | उच्च | नेक्सस 5एक्स, एंड्रॉइड वन | 30 दिसंबर 2016 |
| सीवीई-2017-0523 | ए-32835279 क्यूसी-सीआर#1096945 | उच्च | कोई नहीं* | गूगल आंतरिक |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0524 | ए-33002026 | उच्च | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 18 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम आईपीए ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0456 | ए-33106520* क्यूसी-सीआर#1099598 | उच्च | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 नवंबर 2016 |
| सीवीई-2017-0525 | ए-33139056* क्यूसी-सीआर#1097714 | उच्च | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 25 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
एचटीसी सेंसर हब ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
एचटीसी सेंसर हब ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0526 | ए-33897738* | उच्च | नेक्सस 9 | 25 दिसंबर 2016 |
| सीवीई-2017-0527 | ए-33899318* | उच्च | नेक्सस 9, पिक्सेल, पिक्सेल एक्सएल | 25 दिसंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
NVIDIA GPU ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0307 | ए-33177895* एन-सीवीई-2017-0307 | उच्च | कोई नहीं** | 28 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
क्वालकॉम नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम नेटवर्किंग ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0463 | ए-33277611 क्यूसी-सीआर#1101792 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 30 नवंबर 2016 |
| सीवीई-2017-0460 | ए-31252965* क्यूसी-सीआर#1098801 | उच्च | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना
कर्नेल सुरक्षा सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह गहराई या शोषण शमन तकनीक में कर्नेल स्तर की रक्षा के लिए एक सामान्य बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0528 | ए-33351919* | उच्च | पिक्सेल, पिक्सेल एक्सएल | 4 दिसंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम एसपीकॉम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना
क्वालकॉम एसपीकॉम ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-5856 | ए-32610665 क्यूसी-सीआर#1094078 | उच्च | कोई नहीं* | गूगल आंतरिक |
| सीवीई-2016-5857 | ए-34386529 क्यूसी-सीआर#1094140 | उच्च | कोई नहीं* | गूगल आंतरिक |
* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता
कर्नेल नेटवर्किंग सबसिस्टम में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय निकटतम हमलावर को संवेदनशील जानकारी तक पहुंच प्राप्त करने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2014-8709 | ए-34077221 अपस्ट्रीम कर्नेल | उच्च | नेक्सस प्लेयर | 9 नवंबर 2014 |
मीडियाटेक ड्राइवर में सूचना प्रकटीकरण भेद्यता
मीडियाटेक ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0529 | ए-28449427* एम-एएलपीएस02710042 | उच्च | कोई नहीं** | अप्रैल 27, 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
क्वालकॉम बूटलोडर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम बूटलोडर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को बूटलोडर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम बनाने में मदद कर सकती है। इस समस्या को उच्च श्रेणी का दर्जा दिया गया है क्योंकि यह गहराई में बूटलोडर स्तर की रक्षा या शोषण शमन तकनीक के लिए एक सामान्य बाईपास है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0455 | ए-32370952 क्यूसी-सीआर#1082755 | उच्च | पिक्सेल, पिक्सेल एक्सएल | 21 अक्टूबर 2016 |
क्वालकॉम पावर ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम पावर ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8483 | ए-33745862 क्यूसी-सीआर#1035099 | उच्च | नेक्सस 5एक्स, नेक्सस 6पी | 19 दिसंबर 2016 |
NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता
NVIDIA GPU ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0334 | ए-33245849* एन-सीवीई-2017-0334 | उच्च | पिक्सेल सी | 30 नवंबर 2016 |
| सीवीई-2017-0336 | ए-33042679* एन-सीवीई-2017-0336 | उच्च | पिक्सेल सी | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल क्रिप्टोग्राफ़िक सबसिस्टम में सेवा भेद्यता का खंडन
कर्नेल क्रिप्टोग्राफ़िक सबसिस्टम में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार किए गए नेटवर्क पैकेट का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8650 | ए-33401771 अपस्ट्रीम कर्नेल | उच्च | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 अक्टूबर 2016 |
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना (डिवाइस विशिष्ट)
क्वालकॉम कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा इसे कम किया जाता है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8417 | ए-32342399 क्यूसी-सीआर#1088824 | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 अक्टूबर 2016 |
क्वालकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0461 | ए-32073794 क्यूसी-सीआर#1100132 | मध्यम | Android One, Nexus 5X, Pixel, Pixel XL | 9 अक्टूबर 2016 |
| सीवीई-2017-0459 | ए-32644895 क्यूसी-सीआर#1091939 | मध्यम | पिक्सेल, पिक्सेल एक्सएल | 3 नवंबर 2016 |
| सीवीई-2017-0531 | ए-32877245 क्यूसी-सीआर#1087469 | मध्यम | Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL | 13 नवंबर 2016 |
मीडियाटेक वीडियो कोडेक ड्राइवर में सूचना प्रकटीकरण भेद्यता
मीडियाटेक वीडियो कोडेक ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0532 | ए-32370398* एम-एएलपीएस03069985 | मध्यम | कोई नहीं** | 22 अक्टूबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।
क्वालकॉम वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0533 | ए-32509422 क्यूसी-सीआर#1088206 | मध्यम | पिक्सेल, पिक्सेल एक्सएल | 27 अक्टूबर 2016 |
| सीवीई-2017-0534 | ए-32508732 क्यूसी-सीआर#1088206 | मध्यम | पिक्सेल, पिक्सेल एक्सएल | 28 अक्टूबर 2016 |
| सीवीई-2016-8416 | ए-32510746 क्यूसी-सीआर#1088206 | मध्यम | पिक्सेल, पिक्सेल एक्सएल | 28 अक्टूबर 2016 |
| सीवीई-2016-8478 | ए-32511270 क्यूसी-सीआर#1088206 | मध्यम | पिक्सेल, पिक्सेल एक्सएल | 28 अक्टूबर 2016 |
क्वालकॉम कैमरा ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम कैमरा ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2016-8413 | ए-32709702 क्यूसी-सीआर#518731 | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 4 नवंबर 2016 |
| सीवीई-2016-8477 | ए-32720522 क्यूसी-सीआर#1090007 [ 2 ] | मध्यम | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 नवंबर 2016 |
एचटीसी ध्वनि कोडेक ड्राइवर में सूचना प्रकटीकरण भेद्यता
एचटीसी साउंड कोडेक ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0535 | ए-33547247* | मध्यम | नेक्सस 9 | 11 दिसंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
सिनैप्टिक्स टचस्क्रीन ड्राइवर में सूचना प्रकटीकरण भेद्यता
सिनैप्टिक्स टचस्क्रीन ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0536 | ए-33555878* | मध्यम | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 12 दिसंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
कर्नेल USB गैजेट ड्राइवर में सूचना प्रकटीकरण भेद्यता
कर्नेल यूएसबी गैजेट ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0537 | ए-31614969* | मध्यम | पिक्सेल सी | गूगल आंतरिक |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
क्वालकॉम कैमरा ड्राइवर में सूचना प्रकटीकरण भेद्यता
क्वालकॉम कैमरा ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को निम्न रेटिंग दी गई है क्योंकि इसके लिए सबसे पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।
| सीवीई | संदर्भ | तीव्रता | अद्यतन Google उपकरण | दिनांक सूचित किया गया |
|---|---|---|---|---|
| सीवीई-2017-0452 | ए-32873615* क्यूसी-सीआर#1093693 | कम | नेक्सस 5एक्स, नेक्सस 6पी, एंड्रॉइड वन | 10 नवंबर 2016 |
* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।
- 2017-03-01 या बाद के सुरक्षा पैच स्तर 2017-03-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
- 2017-03-05 या बाद के सुरक्षा पैच स्तर 2017-03-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- जो डिवाइस 1 मार्च, 2017 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
- जो डिवाइस 5 मार्च, 2017 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।
3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?
2017-03-01 और 2017-03-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड Google डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:
- सभी Google डिवाइस : यदि कोई समस्या सभी और पिक्सेल डिवाइसों को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "सभी" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel C, Pixel, और Pixel XL।
- कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
- कोई Google डिवाइस नहीं : यदि Android 7.0 पर चलने वाला कोई भी Google डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" होगा।
4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
संशोधन
- 06 मार्च 2017: बुलेटिन प्रकाशित.
- 07 मार्च, 2017: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।