पब्लिश करने की तारीख: 06 मार्च, 2017 | अपडेट करने की तारीख: 07 मार्च, 2017
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. इस सूचना के साथ ही, हमने Google डिवाइसों के लिए, ओवर-द-एयर (ओटीए) अपडेट के ज़रिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Google डिवाइस के फ़र्मवेयर की इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. 05 मार्च, 2017 या उसके बाद के सुरक्षा पैच लेवल से, इन सभी समस्याओं को ठीक किया जा सकता है. किसी डिवाइस के सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.
पार्टनर को इस सूचना में बताई गई समस्याओं के बारे में 06 फ़रवरी, 2017 या उससे पहले सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) रिपॉज़िटरी में रिलीज़ किए गए हैं और इस सूचना से लिंक किए गए हैं. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और SafetyNet जैसी सेवा से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
सूचनाएं
- इस सूचना में, सुरक्षा पैच के दो लेवल की स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर उन कमजोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं जो सभी Android डिवाइसों में एक जैसी होती हैं. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और जवाब देखें:
- 01-03-2017: सुरक्षा पैच के लेवल की स्ट्रिंग का कुछ हिस्सा. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-03-2017 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-03-2017: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. इस सिक्योरिटी पैच लेवल की स्ट्रिंग से पता चलता है कि 01-03-2017 और 05-03-2017 (और सिक्योरिटी पैच लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- जिन Google डिवाइसों पर यह सुविधा काम करती है उन्हें 05 मार्च, 2017 के सुरक्षा पैच लेवल के साथ एक ओटीए अपडेट मिलेगा.
Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवा सुरक्षा से जुड़े उपायों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि जहां भी हो सके, सभी उपयोगकर्ता अपने डिवाइस को Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Verify ऐप्लिकेशन और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. इनका मकसद, उपयोगकर्ताओं को संभावित तौर पर नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में चेतावनी देना है. Google Mobile Services वाले डिवाइसों पर, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं. डिवाइस को रूट करने वाले टूल, Google Play पर उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने वाली सुविधा, उपयोगकर्ताओं को रूट करने वाले किसी भी ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर चेतावनी देती है. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा के जोखिम का फ़ायदा उठाते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
- Google Hangouts और Messenger ऐप्लिकेशन, Mediaserver जैसी प्रोसेस को मीडिया को अपने-आप पास नहीं करते.
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
- Google डाइनैमिक टूल टीम के अलेक्जेंडर पोटापेंको: CVE-2017-0537
- Alibaba Mobile Security Group के बाओज़ेंग डिंग, चेनिमिंग यांग, पेंग ज़ियाओ, और यांग सॉन्ग: CVE-2017-0506
- Alibaba के मोबाइल सिक्योरिटी ग्रुप के बाओज़ेंग डिंग, निंग यू, चेनिमिंग यांग, पेंग ज़ियाओ, और यांग सॉन्ग: CVE-2017-0463
- Android Security के बिली लाऊ: CVE-2017-0335, CVE-2017-0336, CVE-2017-0338, CVE-2017-0460
- derrek (@derrekr6): CVE-2016-8413, CVE-2016-8477, CVE-2017-0531
- derrek (@derrekr6) और स्कॉट बाउर (@ScottyBauer1): CVE-2017-0521
- Tencent के KeenLab (@keen_lab) के डि शेन (@returnsme): CVE-2017-0334, CVE-2017-0456, CVE-2017-0457, CVE-2017-0525
- MS509Team के En He (@heeeeen4x) और Bo Liu: CVE-2017-0490
- Gengjia Chen (@chengjia4574) और pjf, IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-0500, CVE-2017-0501, CVE-2017-0502, CVE-2017-0503, CVE-2017-0509, CVE-2017-0524, CVE-2017-0529, CVE-2017-0536
- Qihoo 360 Technology Co. Ltd. की Alpha Team के Hao Chen और Guang Gong: CVE-2017-0453, CVE-2017-0461, CVE-2017-0464
- Sony Mobile Communications Inc. के हिरोकी यामामोतो और फ़ैंग चेन: CVE-2017-0481
- IBM Security X-Force के रिसर्चर सागी केडमी और रोई हे: CVE-2017-0510
- Qihoo 360 Skyeye Labs के जियानजुन दाई (@Jioun_dai): CVE-2017-0478
- Qihoo 360 के IceSword Lab के जियानकियांग झाओ (@jianqiangzhao) और pjf: CVE-2016-8416, CVE-2016-8478, CVE-2017-0458, CVE-2017-0459, CVE-2017-0518, CVE-2017-0519, CVE-2017-0533, CVE-2017-0534
- लुबो झांग, टोंग लिन, युआन-त्सुंग लो, और C0RE टीम के जूशियन जियांग: CVE-2016-8479
- Google के मकोतो ओनुकी: CVE-2017-0491
- C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), हैंशियांग वेन, और जूक्सियन जियांग: CVE-2017-0479, CVE-2017-0480
- नाथन क्रैंडल (@natecray): CVE-2017-0535
- Tesla Motors की प्रॉडक्ट सुरक्षा टीम के नेथन क्रैंडल (@natecray): CVE-2017-0306
- Baidu X-Lab (百度安全实验室) के Pengfei Ding (丁鹏飞), Chenfu Bao (包沉浮), Lenx Wei (韦韬): CVE-2016-8417
- क्विनलैब, Tencent के क्विदन हे (何淇丹) (@flanker_hqd): CVE-2017-0337, CVE-2017-0476
- Qihoo 360 के Qing Zhang और सिंगापुर इंस्टिट्यूट ऑफ़ टेक्नोलॉजी (एसआईटी) के Guangdong Bai: CVE-2017-0496
- Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室) के Quhe और wanchouchou: CVE-2017-0522
- DarkMatter में सुरक्षित कम्यूनिकेशन के लिए Sahara: CVE-2017-0528
- यूसी सैंटा बारबरा की Shellphish Grill टीम के salls (@chris_salls): CVE-2017-0505
- स्कॉट बाउर (@ScottyBauer1): CVE-2017-0504, CVE-2017-0516
- शॉन ब्यूप्रे (beaups): CVE-2017-0455
- Trend Micro के Seven Shen (@lingtongshen): CVE-2017-0452
- फ़ुजित्सु के शिनिची मत्सुमोतो: CVE-2017-0498
- ByteRev के Stéphane Marques: CVE-2017-0489
- Google के Svetoslav Ganov: CVE-2017-0492
- Tong Lin, Yuan-Tsung Lo, और C0RE Team के Xuxian Jiang: CVE-2017-0333
- Trend Micro की मोबाइल खतरे से जुड़ी प्रतिक्रिया टीम के वी.ई.ओ (@VYSEa): CVE-2017-0466, CVE-2017-0467, CVE-2017-0468, CVE-2017-0469, CVE-2017-0470, CVE-2017-0471, CVE-2017-0472, CVE-2017-0473, CVE-2017-0482, CVE-2017-0484, CVE-2017-0485, CVE-2017-0486, CVE-2017-0487, CVE-2017-0494, CVE-2017-0495
- Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室) के Wish Wu (吴潍浠 此彼) (@wish_wu): CVE-2017-0477
- Vulpecker टीम के यू पैन, Qihoo 360 Technology Co. Ltd: CVE-2017-0517, CVE-2017-0532
- Yuan-Tsung Lo और C0RE टीम के Xuxian Jiang: CVE-2017-0526, CVE-2017-0527
- C0RE टीम के युकी लू (@nikos233), वेन्के दो, दाचेंग शाओ, मिंगजियन झोउ (@Mingjian_Zhou), और जूशियन जियांग: CVE-2017-0483
- चेंगदू सिक्योरिटी रिस्पॉन्स सेंटर, Qihoo 360 Technology Co.Ltd. के ज़िनुओ हान (weibo.com/ele7enxxh): CVE-2017-0475, CVE-2017-0497
01-03-2017 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-03-2017 के पैच लेवल पर लागू होती हैं. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और शिकायत करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
OpenSSL और BoringSSL में, रिमोट कोड कोड चलाने की सुविधा से जुड़ी जोखिम की आशंका
OpenSSL और BoringSSL में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी जोखिम की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. इस समस्या को गंभीर के तौर पर रेट किया गया है, क्योंकि इसमें किसी खास प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | सबसे अहम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 5 अगस्त, 2016 |
Mediaserver में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या
Mediaserver में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. Mediaserver प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [2] | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 25 नवंबर, 2016 |
| CVE-2017-0467 | A-33250932 [2] | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | Nov 30, 2016 |
| CVE-2017-0468 | A-33351708 [2] | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 5 दिसंबर, 2016 |
| CVE-2017-0469 | A-33450635 | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 8 दिसंबर, 2016 |
| CVE-2017-0470 | A-33818500 | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 21 दिसंबर, 2016 |
| CVE-2017-0471 | A-33816782 | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 21 दिसंबर, 2016 |
| CVE-2017-0472 | A-33862021 | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 23 दिसंबर, 2016 |
| CVE-2017-0473 | A-33982658 | सबसे अहम | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 30 दिसंबर, 2016 |
| CVE-2017-0474 | A-32589224 | सबसे अहम | सभी | 7.0, 7.1.1 | सिर्फ़ Google के लिए |
रिकवरी पुष्टि करने वाले टूल में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम
रिकवरी की पुष्टि करने वाले टूल में, ऐक्सेस लेवल बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | सबसे अहम | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 2 अक्टूबर, 2016 |
AOSP Messaging में, रिमोट कोड प्रोग्राम चलाए जाने की समस्या
AOSP मैसेजिंग में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी को खराब कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि बिना अनुमति वाली प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0476 | A-33388925 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 6 दिसंबर, 2016 |
libgdx में, रिमोट कोड को लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या
libgdx में रिमोट कोड प्रोग्राम चलाए जाने की कमजोरी की वजह से, हमलावर किसी खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. इस लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन में, रिमोट कोड एक्ज़ीक्यूशन की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-33621647 | ज़्यादा | सभी | 7.1.1 | 14 दिसंबर, 2016 |
Framesequence लाइब्रेरी में, रिमोट कोड को लागू करने से जुड़ी समस्या
Framesequence लाइब्रेरी में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी एक समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि Framesequence लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन में रिमोट कोड लागू होने की संभावना होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0478 | A-33718716 | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 16 दिसंबर, 2016 |
एनएफ़सी में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या
एनएफ़सी में, ऐक्सेस लेवल बढ़ाने से जुड़ी कमज़ोरी की वजह से, पास में मौजूद हमलावर, ऐक्सेस लेवल वाली प्रोसेस के दायरे में, मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का लोकल ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0481 | A-33434992 | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 6 नवंबर, 2016 |
Audioserver में प्रिविलेज एस्कलेशन की समस्या
Audioserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [2] | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर, 2016 |
| CVE-2017-0480 | A-32705429 [2] | ज़्यादा | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 7 नवंबर, 2016 |
Mediaserver में सेवा में रुकावट की समस्या
Mediaserver में सेवा में रुकावट आने से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह की फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को गंभीरता के हिसाब से 'ज़्यादा' के तौर पर रेटिंग दी गई है. इसकी वजह यह है कि इसकी वजह से, रिमोट से सेवा में रुकावट डाली जा सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [2] [3] [4] [5] [6] | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 22 नवंबर, 2016 |
| CVE-2017-0483 | A-33137046 [2] | ज़्यादा | सभी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 24 नवंबर, 2016 |
| CVE-2017-0484 | A-33298089 [2] | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 1 दिसंबर, 2016 |
| CVE-2017-0485 | A-33387820 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 6 दिसंबर, 2016 |
| CVE-2017-0486 | A-33621215 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 14 दिसंबर, 2016 |
| CVE-2017-0487 | A-33751193 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 19 दिसंबर, 2016 |
| CVE-2017-0488 | A-34097213 | ज़्यादा | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | सिर्फ़ Google के लिए |
Location Manager में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की आशंका
Location Manager में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को जगह की जानकारी के डेटा के लिए, ऑपरेटिंग सिस्टम की सुरक्षा को बायपास करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल गलत डेटा जनरेट करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 20 नवंबर, 2016 |
वाई-फ़ाई में प्रिविलेज एस्केलेशन की समस्या
वाई-फ़ाई में, ऐक्सेस लेवल बढ़ाने की समस्या की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, उपयोगकर्ता का डेटा मिटा सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है. आम तौर पर, इसके लिए उपयोगकर्ता की ओर से शुरू करने या अनुमति देने की ज़रूरत होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [2] [3] | काफ़ी हद तक ठीक है | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 25 नवंबर, 2016 |
Package Manager में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Package Manager में प्रिविलेज एस्केलेशन की समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, उपयोगकर्ताओं को ऐप्लिकेशन अनइंस्टॉल करने या ऐप्लिकेशन से अनुमतियां हटाने से रोक सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | काफ़ी हद तक ठीक है | सभी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | सिर्फ़ Google के लिए |
System UI में, खास सुविधाओं के ऐक्सेस का गलत इस्तेमाल करने की आशंका
सिस्टम यूज़र इंटरफ़ेस (यूआई) में प्रिविलेज एस्कलेशन की समस्या होने पर, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को पूरी स्क्रीन को कवर करने वाला यूज़र इंटरफ़ेस (यूआई) ओवरले बनाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि यह उपयोगकर्ता इंटरैक्शन की ज़रूरी शर्तों को स्थानीय तौर पर बायपास करता है. आम तौर पर, इसके लिए उपयोगकर्ता की ओर से शुरू करने या अनुमति देने की ज़रूरत होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | काफ़ी हद तक ठीक है | सभी | 7.1.1 | सिर्फ़ Google के लिए |
AOSP Messaging में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
AOSP मैसेजिंग में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली स्थिति है. इसकी वजह से, रिमोट ऐटकर, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इसके लिए, वह खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0494 | A-32764144 | काफ़ी हद तक ठीक है | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 9 नवंबर, 2016 |
Mediaserver में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना संवेदनशील डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | काफ़ी हद तक ठीक है | सभी | 6.0, 6.0.1, 7.0, 7.1.1 | 11 दिसंबर, 2016 |
सेटअप विज़र्ड में, सेवा में रुकावट की समस्या
सेटअप विज़र्ड में, सेवा अस्वीकार करने की समस्या की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, उस डिवाइस का ऐक्सेस कुछ समय के लिए ब्लॉक कर सकता है जिस पर इस समस्या का असर पड़ा है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि डिवाइस को ठीक करने के लिए, इसे फ़ैक्ट्री रीसेट करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | काफ़ी हद तक ठीक है | कोई नहीं** | 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Google डिवाइसों के लिए, नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Mediaserver में, सेवा में रुकावट की समस्या
Mediaserver में सेवा में रुकावट आने से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह की फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए डिवाइस का एक असामान्य कॉन्फ़िगरेशन ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | काफ़ी हद तक ठीक है | सभी | 7.0, 7.1.1 | 2 दिसंबर, 2016 |
सेटअप विज़र्ड में, सेवा में रुकावट की समस्या
सेटअप विज़र्ड में, सेवा के अस्वीकार होने से जुड़ी जोखिम की वजह से, कोई स्थानीय हमलावर फ़ैक्ट्री रीसेट करने के बाद, Google खाते में साइन इन करने के लिए कह सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि डिवाइस को ठीक करने के लिए, इसे फ़ैक्ट्री रीसेट करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [2] | काफ़ी हद तक ठीक है | सभी | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | सिर्फ़ Google के लिए |
Audioserver में सेवा में रुकावट की समस्या
Audioserver में, सेवा अस्वीकार करने की जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को कम रेटिंग दी गई है, क्योंकि इससे कुछ समय के लिए सेवा में रुकावट आ सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | AOSP के अपडेट किए गए वर्शन | रिपोर्ट तारीख |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | कम | सभी | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 | 11 अक्टूबर, 2016 |
05-03-2017 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-03-2017 के पैच लेवल पर लागू होती हैं. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और शिकायत करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
MediaTek कॉम्पोनेंट में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
MediaTek के कॉम्पोनेंट में, विशेषाधिकार बढ़ाने से जुड़ी एक समस्या है. इसमें M4U ड्राइवर, साउंड ड्राइवर, टचस्क्रीन ड्राइवर, जीपीयू ड्राइवर, और कमांड कतार ड्राइवर शामिल हैं. इस समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 |
सबसे अहम | कोई नहीं** | 27 अप्रैल, 2016 |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 |
सबसे अहम | कोई नहीं** | 27 अप्रैल, 2016 |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 |
सबसे अहम | कोई नहीं** | 27 अप्रैल, 2016 |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 |
सबसे अहम | कोई नहीं** | 28 अप्रैल, 2016 |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 |
सबसे अहम | कोई नहीं** | 9 जुलाई, 2016 |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 |
सबसे अहम | कोई नहीं** | 28 सितंबर, 2016 |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 |
सबसे अहम | कोई नहीं** | 18 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
NVIDIA जीपीयू ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
NVIDIA जीपीयू ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमजोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 |
सबसे अहम | Pixel C | 6 अक्टूबर, 2016 |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 |
सबसे अहम | Pixel C | 21 नवंबर, 2016 |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 |
सबसे अहम | Pixel C | 25 दिसंबर, 2016 |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 |
सबसे अहम | Nexus 9 | 6 जनवरी, 2017 |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 |
सबसे अहम | Pixel C | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
कर्नेल ION सबसिस्टम में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम
कर्नेल ION सबसिस्टम में, विशेषाधिकार की सुरक्षा से जुड़ी कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | सबसे अहम | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 6 अक्टूबर, 2016 |
| CVE-2017-0508 | A-33940449* | सबसे अहम | Pixel C | 28 दिसंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Broadcom वाई-फ़ाई ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Broadcom Wi-Fi ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 |
सबसे अहम | कोई नहीं** | 12 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
कर्नेल FIQ डीबगर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
कर्नेल FIQ डीबगर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | सबसे अहम | Nexus 9 | 25 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm जीपीयू ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
Qualcomm GPU ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 |
सबसे अहम | Android One, Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL | 29 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
कर्नेल नेटवर्किंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
कर्नेल नेटवर्किंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-9806 | A-33393474 अपस्ट्रीम कर्नेल |
सबसे अहम | Pixel C, Pixel, Pixel XL | 4 दिसंबर, 2016 |
| CVE-2016-10200 | A-33753815 अपस्ट्रीम कर्नेल |
सबसे अहम | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 19 दिसंबर, 2016 |
Qualcomm के कॉम्पोनेंट में जोखिम की आशंकाएं
यहां दी गई सुरक्षा से जुड़ी समस्या, Qualcomm के कॉम्पोनेंट पर असर डालती है. इस बारे में ज़्यादा जानकारी, Qualcomm AMSS के सितंबर 2016 के सुरक्षा बुलेटिन में दी गई है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | सबसे अहम | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8485 | A-28823681** | सबसे अहम | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8486 | A-28823691** | सबसे अहम | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8487 | A-28823724** | सबसे अहम | कोई नहीं*** | Qualcomm इंटरनल |
| CVE-2016-8488 | A-31625756** | सबसे अहम | कोई नहीं*** | Qualcomm इंटरनल |
* इन जोखिमों की गंभीरता की रेटिंग, वेंडर ने तय की है.
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
*** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
कर्नेल नेटवर्किंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
कर्नेल नेटवर्किंग सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8655 | A-33358926 अपस्ट्रीम कर्नेल |
ज़्यादा | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 12 अक्टूबर, 2016 |
| CVE-2016-9793 | A-33363517 अपस्ट्रीम कर्नेल |
ज़्यादा | Android One, Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Nexus Player, Pixel C, Pixel, Pixel XL | 2 दिसंबर, 2016 |
Qualcomm इनपुट हार्डवेयर ड्राइवर में, विशेषाधिकार हासिल करने की सुविधा से जुड़ी जोखिम
Qualcomm इनपुट हार्डवेयर ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 |
ज़्यादा | Android One, Pixel, Pixel XL | 21 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
MediaTek हार्डवेयर सेंसर ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
MediaTek हार्डवेयर सेंसर ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 |
ज़्यादा | कोई नहीं** | 22 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Qualcomm ADSPRPC ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm ADSPRPC ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 |
ज़्यादा | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 22 सितंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm फ़िंगरप्रिंट सेंसर ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
Qualcomm फ़िंगरप्रिंट सेंसर ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 |
ज़्यादा | Pixel, Pixel XL | 24 अक्टूबर, 2016 |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 |
ज़्यादा | Pixel, Pixel XL | 24 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm क्रिप्टो इंजन ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
Qualcomm क्रिप्टो इंजन ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 24 सितंबर, 2016 |
Qualcomm कैमरा ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Qualcomm कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 |
ज़्यादा | Pixel, Pixel XL | 31 अक्टूबर, 2016 |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 |
ज़्यादा | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 15 नवंबर, 2016 |
MediaTek APK में प्रिविलेज एस्केलेशन की समस्या
MediaTek APK में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि किसी खास प्रोसेस में स्थानीय तौर पर मनमुताबिक कोड लागू होने की संभावना है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 |
ज़्यादा | कोई नहीं** | 15 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना
Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 |
ज़्यादा | Nexus 5X, Pixel, Pixel XL | 15 नवंबर, 2016 |
| CVE-2017-0453 | A-33979145 QC-CR#1105085 |
ज़्यादा | Nexus 5X, Android One | 30 दिसंबर, 2016 |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 |
ज़्यादा | कोई नहीं* | सिर्फ़ Google के लिए |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
Synaptics टचस्क्रीन ड्राइवर में, विशेषाधिकार हासिल करने की सुविधा से जुड़ी जोखिम
Synaptics टचस्क्रीन ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | ज़्यादा | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 18 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm IPA ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
Qualcomm IPA ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 |
ज़्यादा | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 23 नवंबर, 2016 |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 |
ज़्यादा | Nexus 5X, Nexus 6P, Android One, Pixel, Pixel XL | 25 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
HTC Sensor Hub Driver में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या
HTC Sensor Hub Driver में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | ज़्यादा | Nexus 9 | 25 दिसंबर, 2016 |
| CVE-2017-0527 | A-33899318* | ज़्यादा | Nexus 9, Pixel, Pixel XL | 25 दिसंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
NVIDIA जीपीयू ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम
NVIDIA जीपीयू ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमजोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 |
ज़्यादा | कोई नहीं** | 28 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Qualcomm नेटवर्किंग ड्राइवर में, प्रिविलेज एस्केलेशन की समस्या
Qualcomm नेटवर्किंग ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | Nov 30, 2016 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 |
ज़्यादा | Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Pixel, Pixel XL | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
कर्नेल सुरक्षा सबसिस्टम में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम
कर्नेल सुरक्षा सबसिस्टम में, ऐक्सेस लेवल बढ़ाने से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को ऐक्सेस लेवल वाली प्रोसेस के संदर्भ में कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि यह कर्नेल लेवल की बेहतर सुरक्षा या एक्सप्लॉइट को कम करने वाली टेक्नोलॉजी को सामान्य तौर पर बायपास करती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | ज़्यादा | Pixel, Pixel XL | 4 दिसंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm SPCom ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम
Qualcomm SPCom ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 |
ज़्यादा | कोई नहीं* | सिर्फ़ Google के लिए |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 |
ज़्यादा | कोई नहीं* | सिर्फ़ Google के लिए |
* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.
कर्नेल नेटवर्किंग सबसिस्टम में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
कर्नेल नेटवर्किंग सबसिस्टम में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, आस-पास मौजूद कोई हमलावर संवेदनशील जानकारी ऐक्सेस कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल बिना अनुमति के डेटा को ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 अपस्ट्रीम कर्नेल |
ज़्यादा | Nexus Player | 9 नवंबर, 2014 |
MediaTek ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
MediaTek ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 |
ज़्यादा | कोई नहीं** | 27 अप्रैल, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Qualcomm बूटलोडर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
Qualcomm बूटलोडर में जानकारी ज़ाहिर करने से जुड़ी एक समस्या की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को बूटलोडर के संदर्भ में, मनमुताबिक कोड चलाने में मदद मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि यह बूटलोडर लेवल की सुरक्षा या एक्सप्लॉइट को कम करने वाली टेक्नोलॉजी को बाईपास करने का एक सामान्य तरीका है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 |
ज़्यादा | Pixel, Pixel XL | 21 अक्टूबर, 2016 |
Qualcomm पावर ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी समस्या
Qualcomm पावर ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 |
ज़्यादा | Nexus 5X, Nexus 6P | 19 दिसंबर, 2016 |
NVIDIA GPU ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका
NVIDIA GPU ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 |
ज़्यादा | Pixel C | Nov 30, 2016 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 |
ज़्यादा | Pixel C | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
कर्नेल क्रिप्टोग्राफ़िक सबसिस्टम में, सेवा में रुकावट की समस्या
कर्नेल क्रिप्टोग्राफ़िक सबसिस्टम में, सेवा के अस्वीकार होने से जुड़ी जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, डिवाइस को हैंग या रीबूट करने के लिए, खास तौर पर तैयार किए गए नेटवर्क पैकेट का इस्तेमाल कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 अपस्ट्रीम कर्नेल |
ज़्यादा | Nexus 5X, Nexus 6P, Pixel, Pixel XL | 12 अक्टूबर, 2016 |
Qualcomm कैमरा ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या (डिवाइस के हिसाब से)
Qualcomm कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है. हालांकि, मौजूदा प्लैटफ़ॉर्म कॉन्फ़िगरेशन की मदद से, इस समस्या को कम किया जा सकता है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 21 अक्टूबर, 2016 |
Qualcomm वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
Qualcomm वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 |
काफ़ी हद तक ठीक है | Android One, Nexus 5X, Pixel, Pixel XL | 9 अक्टूबर, 2016 |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 |
काफ़ी हद तक ठीक है | Pixel, Pixel XL | 3 नवंबर, 2016 |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 |
काफ़ी हद तक ठीक है | Android One, Nexus 5X, Nexus 6P, Pixel, Pixel XL | 13 नवंबर, 2016 |
MediaTek वीडियो कोडेक ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
MediaTek वीडियो कोडेक ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 |
काफ़ी हद तक ठीक है | कोई नहीं** | 22 अक्टूबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.
Qualcomm वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
Qualcomm वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 |
काफ़ी हद तक ठीक है | Pixel, Pixel XL | 27 अक्टूबर, 2016 |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 |
काफ़ी हद तक ठीक है | Pixel, Pixel XL | 28 अक्टूबर, 2016 |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 |
काफ़ी हद तक ठीक है | Pixel, Pixel XL | 28 अक्टूबर, 2016 |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 |
काफ़ी हद तक ठीक है | Pixel, Pixel XL | 28 अक्टूबर, 2016 |
Qualcomm कैमरा ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
Qualcomm कैमरा ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 4 नवंबर, 2016 |
| CVE-2016-8477 | A-32720522 QC-CR#1090007 [2] |
काफ़ी हद तक ठीक है | Nexus 5X, Nexus 6, Nexus 6P, Android One, Pixel, Pixel XL | 7 नवंबर, 2016 |
HTC साउंड कोडेक ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम
HTC साउंड कोडेक ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | काफ़ी हद तक ठीक है | Nexus 9 | 11 दिसंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Synaptics टचस्क्रीन ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी संवेदनशीलता
Synaptics टचस्क्रीन ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | काफ़ी हद तक ठीक है | Android One, Nexus 5X, Nexus 6P, Nexus 9, Pixel, Pixel XL | 12 दिसंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
यूएसबी गैजेट के लिए, कर्नेल ड्राइवर में जानकारी ज़ाहिर करने की जोखिम
kernel USB गैजेट ड्राइवर में जानकारी ज़ाहिर करने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | काफ़ी हद तक ठीक है | Pixel C | सिर्फ़ Google के लिए |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
Qualcomm कैमरा ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी समस्या
Qualcomm कैमरा ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को कम रेटिंग दी गई है, क्योंकि इसके लिए पहले, किसी ऐसी प्रोसेस को कमज़ोर करना ज़रूरी है जिसे ऐक्सेस करने के लिए खास अनुमति की ज़रूरत होती है.
| CVE | रेफ़रंस | गंभीरता | अपडेट किए गए Google डिवाइस | रिपोर्ट तारीख |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 |
कम | Nexus 5X, Nexus 6P, Android One | 10 नवंबर, 2016 |
* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.
अक्सर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.
- 01-03-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 01-03-2017 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-03-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 05-03-2017 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-03-01]
- [ro.build.version.security_patch]:[2017-03-05]
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 1 मार्च, 2017 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं को ठीक किया जाना चाहिए.
- जिन डिवाइसों में 5 मार्च, 2017 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनके लिए, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच ज़रूर शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. मुझे कैसे पता चलेगा कि हर समस्या का असर किन Google डिवाइसों पर पड़ा है?
01-03-2017 और 05-03-2017 के 'सुरक्षा से जुड़ी समस्याओं की जानकारी' सेक्शन में, हर टेबल में Google के अपडेट किए गए डिवाइस कॉलम होता है. इसमें, हर समस्या के लिए अपडेट किए गए उन Google डिवाइसों की जानकारी होती है जिन पर असर पड़ा है. इस कॉलम में कुछ विकल्प होते हैं:
- सभी Google डिवाइस: अगर किसी समस्या का असर सभी और Pixel डिवाइसों पर पड़ता है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "सभी" दिखेगा. "सभी" में ये काम करने वाले डिवाइस शामिल हैं: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, और Pixel XL.
- कुछ Google डिवाइस: अगर किसी समस्या का असर सभी Google डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Google डिवाइस कॉलम में दी गई है.
- कोई Google डिवाइस नहीं: अगर Android 7.0 पर काम करने वाले किसी भी Google डिवाइस पर इस समस्या का असर नहीं पड़ा है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" दिखेगा.
4. रेफ़रंस कॉलम में मौजूद एंट्री किससे मैप होती हैं?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है. ये प्रीफ़िक्स इस तरह मैप होते हैं:
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
संशोधन
- 06 मार्च, 2017: बुलेटिन पब्लिश किया गया.
- 07 मार्च, 2017: AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.