Android सुरक्षा बुलेटिन—अप्रैल 2017

03 अप्रैल, 2017 को प्रकाशित | 17 अगस्त, 2017 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। बुलेटिन के साथ, हमने एक ओवर-द-एयर (OTA) अपडेट के माध्यम से Nexus डिवाइस के लिए एक सुरक्षा अपडेट जारी किया है। Google डिवाइस फ़र्मवेयर छवियों को Google डेवलपर साइट पर भी जारी किया गया है। 05 अप्रैल, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

भागीदारों को 06 मार्च, 2017 या इससे पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपोजिटरी में जारी किए गए हैं और इस बुलेटिन से जुड़े हुए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसी कई विधियों के माध्यम से एक प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और सेवा सुरक्षा जैसे कि SafeNet पर विवरण के लिए Android और Google सेवा शमन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाओं

  • इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं जो सभी Android उपकरणों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-04-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-04-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-04-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-04-01 और 2017-04-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित Google उपकरणों को 05 अप्रैल, 2017 सुरक्षा पैच स्तर के साथ एकल OTA अपडेट प्राप्त होगा।

Android और Google सेवा में कमी

यह एंड्रॉइड सुरक्षा प्लेटफॉर्म और सेफ्टीनेट जैसे सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • Android सुरक्षा टीम Verify Apps और SafetyNet के साथ दुर्व्यवहार के लिए सक्रिय रूप से निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देने के लिए डिज़ाइन किए गए हैं। ऐप्स सत्यापित करें Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन ऐप्स सत्यापित करें उपयोगकर्ताओं को तब चेतावनी देते हैं जब वे एक पता लगाए गए रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं—चाहे वह कहीं से भी आता हो। इसके अतिरिक्त, Verify Apps उन ज्ञात दुर्भावनापूर्ण अनुप्रयोगों की पहचान करने और उन्हें ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा एप्लिकेशन पहले ही इंस्टॉल किया जा चुका है, तो सत्यापित ऐप्स उपयोगकर्ता को सूचित करेंगे और पता लगाए गए एप्लिकेशन को निकालने का प्रयास करेंगे।
  • जैसा उपयुक्त हो, Google Hangouts और Messenger एप्लिकेशन स्वचालित रूप से मीडिया को Mediaserver जैसी प्रक्रियाओं को पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • शेलफिश ग्रिल टीम के अरविंद माचिरी (डोनफोस): सीवीई-2016-5349
  • Xuanwu लैब, Tencent के डैक्सिंग गुओ ( @ freener0 ): CVE-2017-0585, CVE-2017-0553
  • डेरेक ( @ derrekr6 ) और स्कॉट बाउर: CVE-2017-0576
  • प्रोजेक्ट जीरो की गैल बेनियामिनी: सीवीई-2017-0571, सीवीई-2017-0570, सीवीई-2017-0572, सीवीई-2017-0569, सीवीई-2017-0561
  • गेंगजिया चेन ( @ चेंगजिया 4574 ) और आइसस्वॉर्ड लैब के पीजेएफ, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2017-6426, सीवीई-2017-0581, सीवीई-2017-0329, सीवीई-2017-0332, सीवीई-2017-0566, सीवीई-2017-0573
  • अल्फा टीम के गुआंग गोंग (龚广) ( @oldfresher ) Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
  • अल्फा टीम, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के हाओ चेन और गुआंग गोंग: सीवीई-2017-6424, सीवीई-2017-0584, सीवीई-2017-0454, सीवीई-2017-0574, सीवीई-2017-0575, सीवीई-2017 -0567
  • इयान फोस्टर ( @lanrat ): सीवीई-2017-0554
  • ट्रेंड माइक्रो इंक के जैक टैंग: CVE-2017-0579
  • किहू 360 स्काईआई लैब्स के जियानजुन दाई ( @Jioun_dai ) : CVE-2017-0559, CVE-2017-0541
  • जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के pjf, Qihoo 360: CVE-2017-6425, CVE-2016-5346
  • C0RE टीम के लुबो झांग ( zlbzlb815@163.com ) और IceSword लैब के योंगगैंग गुओ ( @guoygang ), Qihoo 360 Technology Co. Ltd.: CVE-2017-0564
  • Google के मार्क सैलज़िन : CVE-2017-0558
  • टेस्ला की उत्पाद सुरक्षा टीम के माइक एंडरसन ( @manderbot ) और नाथन क्रैंडल ( @natecray ): CVE-2017-0327, CVE-2017-0328
  • पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग, और अलीबाबा मोबाइल सुरक्षा समूह का यांग गीत: CVE-2017-0565
  • पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), और Baidu एक्स-लैब (百度安全实验室) के लेनक्स वेई (韦韬): सीवीई-2016-10236
  • किडन हे (何淇丹 - @flanker_hqd ) कीनलैब, Tencent: CVE-2017-0544, CVE-2017-0325
  • एलेफ रिसर्च, एचसीएल टेक्नोलॉजीज के रोई हे ( @roeehay ): सीवीई-2017-0582, सीवीई-2017-0563
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2017-0562, CVE-2017-0339
  • TrendMicro मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
  • टिम बेकर: सीवीई-2017-0546
  • उमा शंकर प्रधान ( @umasankar_iitd ): सीवीई-2017-0560
  • मोबाइल थ्रेट रिस्पांस टीम के वीईओ ( @VYSEa ), ट्रेंड माइक्रो : CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2017-0549
  • वेनलिन यांग ( @wenlin_yang ), गुआंग गोंग ( @oldfresher ), और अल्फा टीम के हाओ चेन, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: CVE-2017-0580, CVE-2017-0577
  • किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के चेंगदू सुरक्षा प्रतिक्रिया केंद्र से ज़िनुओ हान : CVE-2017-0548
  • गूगल के जुबिन मिथरा: सीवीई-2017-0462

2017-04-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-04-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। इस मुद्दे का विवरण, गंभीरता तर्क, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

Mediaserver में रिमोट कोड निष्पादन भेद्यता

Mediaserver में रिमोट कोड निष्पादन भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले हमलावर को सक्षम कर सकती है। Mediaserver प्रक्रिया के संदर्भ में दूरस्थ कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0538 ए-33641588 नाजुक सभी 6.0, 6.0.1, 7.0, 7.1.1 दिसम्बर 13, 2016
सीवीई-2017-0539 ए-33864300 नाजुक सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 दिसंबर 23, 2016
सीवीई-2017-0541 ए-34031018 नाजुक सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 जनवरी 1, 2017
सीवीई-2017-0542 ए-33934721 नाजुक सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक
सीवीई-2017-0543 ए-34097866 नाजुक सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

कैमराबेस में विशेषाधिकार भेद्यता का उन्नयन

कैमराबेस में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि यह एक विशेषाधिकार प्राप्त प्रक्रिया में एक स्थानीय मनमाना कोड निष्पादन है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0544 ए-31992879 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर 6, 2016

ऑडियोसर्वर में विशेषाधिकार भेद्यता का उन्नयन

ऑडिओसर्वर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0545 ए-32591350 उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 अक्टूबर 31, 2016

सर्फेसफ्लिंगर में विशेषाधिकार भेद्यता का उन्नयन

सर्फेसफ्लिंगर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0546 ए-32628763 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 नवंबर 2016

Mediaserver में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि यह ऑपरेटिंग सिस्टम सुरक्षा के लिए एक सामान्य बायपास है जो अन्य अनुप्रयोगों से एप्लिकेशन डेटा को अलग करता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0547 ए-33861560 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 दिसम्बर 22, 2016

libskia में सेवा भेद्यता से इनकार

libskia में सेवा भेद्यता का एक दूरस्थ इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए डिवाइस को हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च गंभीरता के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0548 ए-33251605 उच्च सभी 7.0, 7.1.1 नवंबर 29, 2016

Mediaserver में सेवा भेद्यता से इनकार

Mediaserver में सेवा सुरक्षाछिद्र का एक दूरस्थ इनकार एक हमलावर को एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने के लिए एक डिवाइस हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च गंभीरता के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0549 ए-33818508 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 दिसंबर 20, 2016
सीवीई-2017-0550 ए-33933140 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक
सीवीई-2017-0551 ए-34097231 [ 2 ] उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक
सीवीई-2017-0552 ए-34097915 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

libnl . में विशेषाधिकार भेद्यता का उन्नयन

libnl में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को वाई-फाई सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा इसे कम किया जाता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0553 ए-32342065 संतुलित सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 अक्टूबर 2016

टेलीफोनी में विशेषाधिकार भेद्यता का उन्नयन

टेलीफ़ोनी घटक में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर क्षमताओं तक पहुंचने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक पहुंच प्राप्त करने के लिए किया जा सकता है, जो आमतौर पर किसी तृतीय-पक्ष एप्लिकेशन के लिए सुलभ नहीं होते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0554 ए-33815946 [ 2 ] संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 दिसंबर 20, 2016

Mediaserver में सूचना प्रकटीकरण भेद्यता

Mediaserver में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा एक्सेस करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0555 ए-33551775 संतुलित सभी 6.0, 6.0.1, 7.0, 7.1.1 दिसम्बर 12, 2016
सीवीई-2017-0556 ए-3409952 संतुलित सभी 6.0, 6.0.1, 7.0, 7.1.1 जनवरी 4, 2017
सीवीई-2017-0557 ए-34093073 संतुलित सभी 6.0, 6.0.1, 7.0, 7.1.1 जनवरी 4, 2017
सीवीई-2017-0558 ए-34056274 संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

libskia में सूचना प्रकटीकरण भेद्यता

libskia में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा एक्सेस करने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0559 ए-33897722 संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 दिसंबर 25, 2016

फ़ैक्टरी रीसेट में सूचना प्रकटीकरण भेद्यता

फ़ैक्टरी रीसेट प्रक्रिया में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण हमलावर को पिछले मालिक के डेटा तक पहुँचने में सक्षम कर सकती है। डिवाइस सुरक्षा को दरकिनार करने की संभावना के कारण इस समस्या को मॉडरेट के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2017-0560 ए-30681079 संतुलित सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

2017-04-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-04-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। समस्या का विवरण, गंभीरता का औचित्य, और सीवीई के साथ एक तालिका, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और तारीख की सूचना दी गई है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ देंगे जिसने समस्या को बग आईडी से संबोधित किया था, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

ब्रॉडकॉम वाई-फाई फर्मवेयर में रिमोट कोड निष्पादन भेद्यता

ब्रॉडकॉम वाई-फाई फर्मवेयर में एक रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को वाई-फाई एसओसी के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। वाई-फाई एसओसी के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को गंभीर के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0561 ए-34199105*
बी-आरबी#110814
नाजुक नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर जनवरी 9, 2017

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम क्रिप्टो इंजन ड्राइवर में रिमोट कोड निष्पादन भेद्यता

क्वालकॉम क्रिप्टो इंजन ड्राइवर में रिमोट कोड निष्पादन भेद्यता रिमोट हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को गंभीर के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-10230 ए-34389927
क्यूसी-सीआर#1091408
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One जनवरी 10, 2017

कर्नेल नेटवर्किंग सबसिस्टम में रिमोट कोड निष्पादन भेद्यता

कर्नेल नेटवर्किंग सबसिस्टम में एक रिमोट कोड निष्पादन भेद्यता दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को गंभीर के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-10229 ए-32813456
अपस्ट्रीम कर्नेल
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player गूगल आंतरिक

मीडियाटेक टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0562 ए-30202425*
एम-एएलपीएस02898189
नाजुक* कोई भी नहीं** जुलाई 16, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

HTC टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

HTC टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0563 ए-32089409*
नाजुक नेक्सस 9 9 अक्टूबर 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस समझौता की संभावना के कारण इस समस्या को गंभीर के रूप में रेट किया गया है, जिसके लिए डिवाइस को सुधारने के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0564 ए-34276203*
नाजुक Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player जनवरी 12, 2017

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम घटकों में कमजोरियां

ये भेद्यताएं क्वालकॉम घटकों को प्रभावित करती हैं और क्वालकॉम एएमएसएस अक्टूबर 2016 सुरक्षा बुलेटिन में अधिक विस्तार से वर्णित हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-10237 ए-31628601**
क्यूसी-सीआर#1046751
नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2016-10238 ए-35358527**
क्यूसी-सीआर#1042558
नाजुक कोई भी नहीं*** क्वालकॉम आंतरिक
सीवीई-2016-10239 ए-31624618**
क्यूसी-सीआर#1032929
उच्च पिक्सेल, पिक्सेल XL क्वालकॉम आंतरिक

* इन कमजोरियों के लिए गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

*** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

v8 . में रिमोट कोड निष्पादन भेद्यता

V8 में रिमोट कोड निष्पादन भेद्यता दूरस्थ हमलावरों को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है। वेबसाइटों में रिमोट कोड के निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-5129 ए-29178923 उच्च कोई भी नहीं* 6.0, 6.0.1, 7.0 जुलाई 20, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

फ्रीटाइप में रिमोट कोड निष्पादन भेद्यता

फ़्रीटाइप में एक रिमोट कोड निष्पादन भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेष रूप से तैयार किए गए फ़ॉन्ट को लोड करने के लिए सक्षम कर सकती है जिससे एक अनपेक्षित प्रक्रिया में स्मृति भ्रष्टाचार हो सकता है। इस लाइब्रेरी का उपयोग करने वाले किसी एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च के रूप में रेट किया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस अपडेट किया गया एओएसपी संस्करण तारीख की सूचना दी
सीवीई-2016-10244 ए-31470908 उच्च कोई भी नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 13, 2016

* Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल साउंड सबसिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2014-4656 ए-34464977
अपस्ट्रीम कर्नेल
उच्च नेक्सस 6, नेक्सस प्लेयर जून 26, 2014

NVIDIA क्रिप्टो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA क्रिप्टो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0339 ए-27930566*
एन-सीवीई-2017-0339
उच्च नेक्सस 9 मार्च 29, 2016
सीवीई-2017-0332 ए-33812508*
एन-सीवीई-2017-0332
उच्च नेक्सस 9 दिसंबर 21, 2016
सीवीई-2017-0327 ए-33893669*
एन-सीवीई-2017-0327
उच्च नेक्सस 9 दिसंबर 24, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

मीडियाटेक थर्मल ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक थर्मल ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0565 ए-28175904*
एम-एएलपीएस02696516
उच्च कोई भी नहीं** अप्रैल 11, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

मीडियाटेक कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

मीडियाटेक कैमरा ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0566 ए-28470975*
एम-एएलपीएस02696367
उच्च कोई भी नहीं** अप्रैल 29, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0567 ए-32125310*
बी-आरबी#112575
उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर अक्टूबर 12, 2016
सीवीई-2017-0568 ए-34197514*
बी-आरबी#112600
उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर जनवरी 9, 2017
सीवीई-2017-0569 ए-34198729*
बी-आरबी#110666
उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर जनवरी 9, 2017
सीवीई-2017-0570 ए-34199963*
बी-आरबी#110688
उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर जनवरी 9, 2017
सीवीई-2017-0571 ए-34203305*
बी-आरबी#111541
उच्च नेक्सस 6, नेक्सस 6पी, पिक्सेल सी, नेक्सस प्लेयर जनवरी 9, 2017
सीवीई-2017-0572 ए-34198931*
बी-आरबी#112597
उच्च कोई भी नहीं** जनवरी 9, 2017
सीवीई-2017-0573 ए-34469904*
बी-आरबी#91539
उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर जनवरी 18, 2017
सीवीई-2017-0574 ए-34624457*
बी-आरबी#113189
उच्च Nexus 6, Nexus 6P, Nexus 9, Pixel C 22 जनवरी, 2017

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0575 ए-32658595*
क्यूसी-सीआर#1103099
उच्च Nexus 5X, पिक्सेल, पिक्सेल XL नवंबर 3, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

NVIDIA I2C HID ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA I2C HID ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0325 ए-33040280*
एन-सीवीई-2017-0325
उच्च नेक्सस 9, पिक्सेल सी नवंबर 20, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम ऑडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम ऑडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0454 ए-33353700
क्यूसी-सीआर#1104067
उच्च Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL दिसंबर 5, 2016

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0576 ए-33544431
क्यूसी-सीआर#1103089
उच्च Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One दिसम्बर 9, 2016

HTC टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

HTC टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0577 ए-33842951*
उच्च कोई भी नहीं** दिसंबर 21, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

डीटीएस ध्वनि चालक में विशेषाधिकार भेद्यता का उन्नयन

DTS साउंड ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0578 ए-33964406*
उच्च कोई भी नहीं** दिसम्बर 28, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम साउंड कोडेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम साउंड कोडेक ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-10231 ए-33966912
क्यूसी-सीआर#1096799
उच्च पिक्सेल, पिक्सेल XL दिसम्बर 29, 2016

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0579 ए-34125463*
क्यूसी-सीआर#1115406
उच्च Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL जनवरी 5, 2017
सीवीई-2016-10232 ए-34386696
क्यूसी-सीआर#1024872 [2]
उच्च Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One जनवरी 10, 2017
सीवीई-2016-10233 ए-34389926
क्यूसी-सीआर#897452
उच्च कोई भी नहीं** जनवरी 10, 2017

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

NVIDIA बूट और पावर मैनेजमेंट प्रोसेसर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

NVIDIA बूट और पावर मैनेजमेंट प्रोसेसर ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को बूट और पावर प्रबंधन प्रोसेसर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0329 ए-34115304*
एन-सीवीई-2017-0329
उच्च पिक्सेल सी जनवरी 5, 2017

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0580 ए-34325986*
उच्च कोई भी नहीं** जनवरी 16, 2017
सीवीई-2017-0581 ए-34614485*
उच्च कोई भी नहीं** 22 जनवरी, 2017

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम सीम्प ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम सीम्प ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0462 ए-33353601
क्यूसी-सीआर#1102288
उच्च पिक्सेल, पिक्सेल XL गूगल आंतरिक

Qualcomm Kyro L2 ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम Kyro L2 ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-6423 ए-32831370
क्यूसी-सीआर#1103158
उच्च पिक्सेल, पिक्सेल XL गूगल आंतरिक

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2014-9922 ए-32761463
अपस्ट्रीम कर्नेल
उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player 24 अक्टूबर 2014

कर्नेल मेमोरी सबसिस्टम में सूचना प्रकटीकरण भेद्यता

कर्नेल मेमोरी सबसिस्टम में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2014-0206 ए-34465735
अपस्ट्रीम कर्नेल
उच्च नेक्सस 6, नेक्सस प्लेयर 6 मई 2014

कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता

कर्नेल नेटवर्किंग सबसिस्टम में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2014-3145 ए-34469585
अपस्ट्रीम कर्नेल [2]
उच्च नेक्सस 6, नेक्सस प्लेयर 9 मई 2014

क्वालकॉम ट्रस्टज़ोन में सूचना प्रकटीकरण भेद्यता

क्वालकॉम ट्रस्टज़ोन में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-5349 ए-29083830
क्यूसी-सीआर#1021945 [2] [3] [4]
उच्च Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One जून 1, 2016

क्वालकॉम आईपीए ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम आईपीए ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग स्पष्ट उपयोगकर्ता अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-10234 ए-34390017
क्यूसी-सीआर#1069060 [2]
उच्च Nexus 5X, Nexus 6P, पिक्सेल, पिक्सेल XL जनवरी 10, 2017

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को एक विशेष रूप से तैयार किए गए नेटवर्क पैकेट का उपयोग करने के लिए डिवाइस को हैंग या रीबूट करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2014-2706 ए-34160553
अपस्ट्रीम कर्नेल
उच्च नेक्सस प्लेयर 1 अप्रैल 2014

क्वालकॉम वाई-फाई ड्राइवर में सेवा भेद्यता से इनकार

क्वालकॉम वाई-फाई ड्राइवर में सेवा भेद्यता से इनकार एक निकटवर्ती हमलावर को वाई-फाई सबसिस्टम में सेवा से इनकार करने के लिए सक्षम कर सकता है। सेवा के दूरस्थ इनकार की संभावना के कारण इस मुद्दे को उच्च के रूप में दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-10235 ए-34390620
क्यूसी-सीआर#1046409
उच्च कोई भी नहीं** जनवरी 10, 2017

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर मनमाने कोड को निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा इसे कम किया जाता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-7097 ए-32458736
अपस्ट्रीम कर्नेल
संतुलित Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player अगस्त 28, 2016

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और भेद्यता विशिष्ट विवरणों के कारण जो समस्या के प्रभाव को सीमित करते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-6424 ए-32086742
क्यूसी-सीआर#1102648
संतुलित Nexus 5X, Pixel, Pixel XL, Android One 9 अक्टूबर 2016

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा इसे कम किया जाता है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-8465 ए-32474971*
बी-आरबी#106053
संतुलित नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर अक्टूबर 27, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

एचटीसी ओईएम फास्टबूट कमांड में विशेषाधिकार भेद्यता का उन्नयन

एचटीसी ओईएम फास्टबूट कमांड में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सेंसर हब के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले अलग कमजोरियों के शोषण की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0582 ए-33178836*
संतुलित नेक्सस 9 नवंबर 28, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

क्वालकॉम सीपी एक्सेस ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन

क्वालकॉम सीपी एक्सेस ड्राइवर में विशेषाधिकार भेद्यता का उन्नयन एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और भेद्यता विशिष्ट विवरणों के कारण जो समस्या के प्रभाव को सीमित करते हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0583 ए-32068683
क्यूसी-सीआर#1103788
संतुलित Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One गूगल आंतरिक

कर्नेल मीडिया ड्राइवर में सूचना प्रकटीकरण भेद्यता

कर्नेल मीडिया ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2014-1739 ए-34460642
अपस्ट्रीम कर्नेल
संतुलित नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर जून 15, 2014

क्वालकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0584 ए-32074353*
क्यूसी-सीआर#1104731
संतुलित Nexus 5X, पिक्सेल, पिक्सेल XL 9 अक्टूबर 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

ब्रॉडकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता

ब्रॉडकॉम वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0585 ए-32475556*
बी-आरबी#112953
संतुलित नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर अक्टूबर 27, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

Qualcomm Avtimer ड्राइवर में सूचना प्रकटीकरण भेद्यता

Qualcomm Avtimer ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-5346 ए-32551280
क्यूसी-सीआर#1097878
संतुलित पिक्सेल, पिक्सेल XL अक्टूबर 29, 2016

क्वालकॉम वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-6425 ए-32577085
क्यूसी-सीआर#1103689
संतुलित पिक्सेल, पिक्सेल XL अक्टूबर 29, 2016

क्वालकॉम यूएसबी ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम यूएसबी ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2016-10236 ए-33280689
क्यूसी-सीआर#1102418
संतुलित पिक्सेल, पिक्सेल XL नवंबर 30, 2016

क्वालकॉम ध्वनि चालक में सूचना प्रकटीकरण भेद्यता

क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0586 ए-33649808
क्यूसी-सीआर#1097569
संतुलित Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One दिसम्बर 13, 2016

क्वालकॉम एसपीएमआई ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम एसपीएमआई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-6426 ए-33644474
क्यूसी-सीआर#1106842
संतुलित पिक्सेल, पिक्सेल XL दिसंबर 14, 2016

NVIDIA क्रिप्टो ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA क्रिप्टो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम के रूप में दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2017-0328 ए-33898322*
एन-सीवीई-2017-0328
संतुलित कोई भी नहीं** दिसंबर 24, 2016
सीवीई-2017-0330 ए-33899858*
एन-सीवीई-2017-0330
संतुलित कोई भी नहीं** दिसंबर 24, 2016

* इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम घटकों में कमजोरियां

क्वालकॉम घटकों को प्रभावित करने वाली इन कमजोरियों को 2014-2016 के बीच क्वालकॉम एएमएसएस सुरक्षा बुलेटिन के हिस्से के रूप में जारी किया गया था। वे अपने सुधारों को Android सुरक्षा पैच स्तर के साथ जोड़ने के लिए इस Android सुरक्षा बुलेटिन में शामिल हैं।

सीवीई संदर्भ तीव्रता अपडेट किए गए Google डिवाइस तारीख की सूचना दी
सीवीई-2014-9931 ए-35445101** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9932 ए-35434683** नाजुक पिक्सेल, पिक्सेल XL क्वालकॉम आंतरिक
सीवीई-2014-9933 ए-35442512** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9934 ए-35439275** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9935 ए-35444951** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9936 ए-35442420** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9937 ए-35445102** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8995 ए-35445002** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8996 ए-35444658** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8997 ए-35432947** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8998 ए-35441175** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8999 ए-35445401** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2015-9000 ए-35441076** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2015-9001 ए-35445400** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2015-9002 ए-35442421** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2015-9003 ए-35440626** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक
सीवीई-2016-10242 ए-35434643** नाजुक कोई भी नहीं** क्वालकॉम आंतरिक

* इन कमजोरियों के लिए गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

** इस मुद्दे के लिए पैच सार्वजनिक रूप से उपलब्ध नहीं है। अद्यतन Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।

*** Android 7.0 या बाद के संस्करणों पर समर्थित Google डिवाइस, जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देशों को पढ़ें।

  • 2017-04-01 या बाद के सुरक्षा पैच स्तर 2017-04-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2017-04-05 या बाद के सुरक्षा पैच स्तर 2017-04-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2017-04-01]
  • [ro.build.version.security_patch]:[2017-04-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 01 अप्रैल, 2017 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
  • 05 अप्रैल, 2017 या उससे बाद के सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।

3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?

2017-04-01 और 2017-04-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेट किया गया Google डिवाइस कॉलम होता है जो प्रत्येक समस्या के लिए अपडेट किए गए प्रभावित Google उपकरणों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी Google डिवाइस : यदि कोई समस्या सभी और पिक्सेल डिवाइस को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "सभी" निम्नलिखित समर्थित उपकरणों को इनकैप्सुलेट करता है: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel और Pixel XL।
  • कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइस को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई Google उपकरण नहीं : यदि Android 7.0 चलाने वाले कोई भी Google उपकरण समस्या से प्रभावित नहीं हैं, तो अद्यतन किए गए Google उपकरण स्तंभ में तालिका में "कोई नहीं" होगा।

4. संदर्भ कॉलम में प्रविष्टियाँ किस लिए मैप करती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग निम्नानुसार मानचित्र करते हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

संशोधन

  • 03 अप्रैल, 2017: बुलेटिन प्रकाशित हुआ।
  • 05 अप्रैल, 2017: एओएसपी लिंक को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
  • 21 अप्रैल, 2017: सीवीई-2016-10231 और सीवीई-2017-0586 के लिए एट्रिब्यूशन सही किया गया।
  • 27 अप्रैल, 2017: CVE-2017-0540 को बुलेटिन से हटाया गया।
  • 17 अगस्त, 2017: संदर्भ संख्याओं को अद्यतन करने के लिए बुलेटिन को संशोधित किया गया।