हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

Android सुरक्षा बुलेटिन—अप्रैल 2017
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

पब्लिश किया गया: 03 अप्रैल, 2017 | अपडेट किया गया: 17 अगस्त, 2017

Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के ज़रिए, Nexus डिवाइसों के लिए सुरक्षा से जुड़ा अपडेट रिलीज़ किया है. Google डिवाइस के फ़र्मवेयर की इमेज, Google डेवलपर साइट पर भी रिलीज़ की गई हैं. 05 अप्रैल, 2017 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.

पार्टनर को इस सूचना में बताई गई समस्याओं के बारे में 06 मार्च, 2017 या उससे पहले सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.

इनमें से सबसे गंभीर समस्या, सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, मीडिया फ़ाइलों को प्रोसेस करते समय, ईमेल, वेब ब्राउज़िंग, और एमएमएस जैसे कई तरीकों से, जिस डिवाइस पर असर पड़ा है उस पर रिमोट कोड को लागू किया जा सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि कमज़ोरी का फ़ायदा उठाने से, जिस डिवाइस पर असर पड़ा है उस पर क्या असर पड़ सकता है. यह आकलन इस आधार पर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा से जुड़ी कमज़ोरियों को कम करने की सुविधाएं बंद हैं या नहीं या उन्हें बाईपास किया जा सकता है या नहीं.

हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और SafetyNet जैसी सेवा से जुड़ी सुरक्षा सुविधाओं के बारे में जानने के लिए, Android और Google की सेवाओं से जुड़ी समस्याओं को हल करने के तरीके सेक्शन देखें. ये सुविधाएं, Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाती हैं.

हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.

सूचनाएं

इस सूचना में, सुरक्षा पैच के दो लेवल की स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर उन कमजोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं जो सभी Android डिवाइसों में एक जैसी होती हैं. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और जवाब देखें:
- 01-04-2017: सुरक्षा पैच के लेवल की कुछ जानकारी देने वाली स्ट्रिंग. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-04-2017 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-04-2017: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. इस सिक्योरिटी पैच लेवल की स्ट्रिंग से पता चलता है कि 01-04-2017 और 05-04-2017 (और सिक्योरिटी पैच लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
जिन Google डिवाइसों पर यह सुविधा काम करती है उन्हें 05 अप्रैल, 2017 के सुरक्षा पैच लेवल के साथ एक ओटीए अपडेट मिलेगा.

Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना

इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और SafetyNet जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी समस्याओं को कम करने के तरीकों के बारे में खास जानकारी दी गई है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.

Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
Android की सुरक्षा टीम, ऐप्लिकेशन की पुष्टि करने की सुविधा और SafetyNet की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. इन सुविधाओं को नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देने के लिए डिज़ाइन किया गया है. Google Mobile Services वाले डिवाइसों पर, 'ऐप्लिकेशन की पुष्टि करें' सुविधा डिफ़ॉल्ट रूप से चालू होती है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play से बाहर के ऐप्लिकेशन इंस्टॉल करते हैं. Google Play पर, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले टूल उपलब्ध नहीं हैं. हालांकि, ऐप्लिकेशन की पुष्टि करने की सुविधा, डिवाइस को रीमूट से कंट्रोल करने की सुविधा देने वाले ऐप्लिकेशन को इंस्टॉल करने की कोशिश करने पर, उपयोगकर्ताओं को चेतावनी देती है. भले ही, वह ऐप्लिकेशन किसी भी सोर्स से डाउनलोड किया गया हो. इसके अलावा, 'ऐप्लिकेशन की पुष्टि करें' सुविधा, नुकसान पहुंचाने वाले उन ऐप्लिकेशन की पहचान करने और उन्हें इंस्टॉल होने से रोकने की कोशिश करती है जो ऐक्सेस लेवल बढ़ाने की सुविधा के जोखिम का फ़ायदा उठाते हैं. अगर ऐसा कोई ऐप्लिकेशन पहले से इंस्टॉल है, तो 'ऐप्लिकेशन की पुष्टि करें' सुविधा, उपयोगकर्ता को इसकी सूचना देगी और उस ऐप्लिकेशन को हटाने की कोशिश करेगी.
Google Hangouts और Messenger ऐप्लिकेशन, Mediaserver जैसी प्रोसेस को मीडिया को अपने-आप पास नहीं करते.

आभार

हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:

Shellphish Grill Team के अरविंद माचीरी (donfos): CVE-2016-5349
Xuanwu Lab, Tencent के Daxing Guo (@freener0): CVE-2017-0585, CVE-2017-0553
Derrek (@derrekr6) और स्कॉट बाउर: CVE-2017-0576
Project Zero के गैल बेनियामिनी: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
Gengjia Chen (@chengjia4574) और pjf , IceSword Lab, Qihoo 360 Technology Co. Ltd.: CVE-2017-6426, CVE-2017-0581, CVE-2017-0329, CVE-2017-0332, CVE-2017-0566, CVE-2017-0573
Guang Gong (龚广) (@oldfresher) of Alpha Team, Qihoo 360 Technology Co. Ltd.: CVE-2017-0547
Qihoo 360 Technology Co. Ltd. की Alpha Team के Hao Chen और Guang Gong: CVE-2017-6424, CVE-2017-0584, CVE-2017-0454, CVE-2017-0574, CVE-2017-0575, CVE-2017-0567
इयान फ़ोस्टर (@lanrat): CVE-2017-0554
Trend Micro Inc. के जैक टैंग: CVE-2017-0579
Qihoo 360 Skyeye Labs के जियानजुन दाई (@Jioun_dai): CVE-2017-0559, CVE-2017-0541
Jianqiang Zhao (@jianqiangzhao) और Qihoo 360 के IceSword Lab के pjf: CVE-2017-6425, CVE-2016-5346
C0RE टीम के लुबो ज़्हांग (zlbzlb815@163.com) और क्वोहो 360 टेक्नोलॉजी कंपनी लिमिटेड के IceSword Lab के योंगगांग गुओ (@guoygang): CVE-2017-0564
Google के मार्क सैलिज़िन: CVE-2017-0558
Tesla की प्रॉडक्ट सुरक्षा टीम के माइक एंडरसन (@manderbot) और नेथन क्रैंडल (@natecray): CVE-2017-0327, CVE-2017-0328
Alibaba के मोबाइल सिक्योरिटी ग्रुप के पेंग ज़ियाओ, चेनिमिंग यांग, निंग यू, चाओ यांग, और यांग सॉन्ग: CVE-2017-0565
Baidu X-Lab (百度安全实验室) के पेंगफ़ेई डिंग (丁鹏飞), चेनफ़ू बाओ (包沉浮), और लेनक्स वेई (韦韬): CVE-2016-10236
क्विनलैब, Tencent के @flanker_hqd के क्विदन हे (何淇丹): CVE-2017-0544, CVE-2017-0325
HCL Technologies के Aleph Research के रोई हे (@roeehay): CVE-2017-0582, CVE-2017-0563
स्कॉट बाउर (@ScottyBauer1): CVE-2017-0562, CVE-2017-0339
TrendMicro की मोबाइल खतरे से जुड़ी रिसर्च टीम के Seven Shen (@lingtongshen): CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
टिम बेकर: CVE-2017-0546
उमा शंकर प्रधान (@umasankar_iitd): CVE-2017-0560
Trend Micro की मोबाइल खतरे से जुड़ी प्रतिक्रिया टीम के वी.ई.ओ. (@VYSEa): CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
Alibaba Inc के वीचाउ सन (@sunblate): CVE-2017-0549
Qihoo 360 Technology Co. Ltd. की Alpha टीम के वेनलिन यांग (@wenlin_yang), गुआंग गोंग (@oldfresher), और हाओ चेन: CVE-2017-0580, CVE-2017-0577
Qihoo 360 Technology Co. Ltd. के Chengdu Security Response Center की Zinuo Han: CVE-2017-0548
Google के ज़ुबिन मित्रा: CVE-2017-0462

01-04-2017 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस समस्या के बारे में जानकारी देते हैं जो 01-04-2017 के पैच लेवल पर लागू होती है. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और एक टेबल दी गई है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और शिकायत करने की तारीख शामिल है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.

Mediaserver में, रिमोट कोड चलाने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या

Mediaserver में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, कोई हैकर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेस करने के दौरान मेमोरी को खराब कर सकता है. Mediaserver प्रोसेस के संदर्भ में, रिमोट कोड को लागू करने की संभावना की वजह से, इस समस्या को गंभीर के तौर पर रेट किया गया है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0538	A-33641588	सबसे अहम	सभी	6.0, 6.0.1, 7.0, 7.1.1	13 दिसंबर, 2016
CVE-2017-0539	A-33864300	सबसे अहम	सभी	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	23 दिसंबर, 2016
CVE-2017-0541	A-34031018	सबसे अहम	सभी	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	1 जनवरी, 2017
CVE-2017-0542	A-33934721	सबसे अहम	सभी	6.0, 6.0.1, 7.0, 7.1.1	सिर्फ़ Google के लिए
CVE-2017-0543	A-34097866	सबसे अहम	सभी	6.0, 6.0.1, 7.0, 7.1.1	सिर्फ़ Google के लिए

CameraBase में प्रिविलेज एस्कलेशन की समस्या

CameraBase में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि यह किसी खास प्रोसेस में स्थानीय कोड को मनमुताबिक चलाने की सुविधा है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0544	A-31992879	ज़्यादा	सभी	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	6 अक्टूबर, 2016

Audioserver में प्रिविलेज एस्कलेशन की समस्या

Audioserver में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0545	A-32591350	ज़्यादा	सभी	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	31 अक्टूबर, 2016

SurfaceFlinger में प्रिविलेज एस्केलेशन की समस्या

SurfaceFlinger में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को विशेषाधिकार वाली प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल, ऐडवांस सुविधाओं का स्थानीय ऐक्सेस पाने के लिए किया जा सकता है. आम तौर पर, तीसरे पक्ष के ऐप्लिकेशन के पास इन सुविधाओं का ऐक्सेस नहीं होता.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0546	A-32628763	ज़्यादा	सभी	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	2 नवंबर, 2016

Mediaserver में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेटिंग दी गई है, क्योंकि यह ऑपरेटिंग सिस्टम की सुरक्षा से जुड़ी उन सामान्य सुविधाओं को बायपास करता है जो ऐप्लिकेशन के डेटा को दूसरे ऐप्लिकेशन से अलग रखती हैं.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0547	A-33861560	ज़्यादा	सभी	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	22 दिसंबर, 2016

libskia में, सेवा में रुकावट की समस्या

libskia में, सेवा में रुकावट डालने से जुड़ी रिमोट से जुड़ी समस्या की वजह से, हमलावर किसी खास तरह से तैयार की गई फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को गंभीरता के हिसाब से 'ज़्यादा' के तौर पर रेटिंग दी गई है. इसकी वजह यह है कि इसकी वजह से, रिमोट से सेवा में रुकावट डाली जा सकती है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0548	A-33251605	ज़्यादा	सभी	7.0, 7.1.1	29 नवंबर, 2016

Mediaserver में सेवा में रुकावट की समस्या

Mediaserver में रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की समस्या की वजह से, हमलावर किसी खास तरह की फ़ाइल का इस्तेमाल करके, डिवाइस को हैंग या रीबूट कर सकता है. इस समस्या को गंभीरता की ज़्यादा रेटिंग दी गई है, क्योंकि इसकी वजह से कहीं से भी सेवा को बंद किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0549	A-33818508	ज़्यादा	सभी	6.0, 6.0.1, 7.0, 7.1.1	20 दिसंबर, 2016
CVE-2017-0550	A-33933140	ज़्यादा	सभी	6.0, 6.0.1, 7.0, 7.1.1	सिर्फ़ Google के लिए
CVE-2017-0551	A-34097231 [2]	ज़्यादा	सभी	6.0, 6.0.1, 7.0, 7.1.1	सिर्फ़ Google के लिए
CVE-2017-0552	A-34097915	ज़्यादा	सभी	6.0, 6.0.1, 7.0, 7.1.1	सिर्फ़ Google के लिए

libnl में प्रिविलेज एस्कलेशन की समस्या

libnl में प्रिविलेज एस्कलेशन की समस्या की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, वाई-फ़ाई सेवा के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है. साथ ही, मौजूदा प्लैटफ़ॉर्म कॉन्फ़िगरेशन की मदद से, इस समस्या को कम किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0553	A-32342065	काफ़ी हद तक ठीक है	सभी	5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	21 अक्टूबर, 2016

टेलीफ़ोनी में प्रिविलेज एस्कलेशन की समस्या

टेलीफ़ोनी कॉम्पोनेंट में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर की सुविधाओं को ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उन सुविधाओं का ऐक्सेस पाने के लिए किया जा सकता है जो आम तौर पर तीसरे पक्ष के ऐप्लिकेशन के लिए उपलब्ध नहीं होती हैं.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0554	A-33815946 [2]	काफ़ी हद तक ठीक है	सभी	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	20 दिसंबर, 2016

Mediaserver में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

Mediaserver में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0555	A-33551775	काफ़ी हद तक ठीक है	सभी	6.0, 6.0.1, 7.0, 7.1.1	12 दिसंबर, 2016
CVE-2017-0556	A-34093952	काफ़ी हद तक ठीक है	सभी	6.0, 6.0.1, 7.0, 7.1.1	4 जनवरी, 2017
CVE-2017-0557	A-34093073	काफ़ी हद तक ठीक है	सभी	6.0, 6.0.1, 7.0, 7.1.1	4 जनवरी, 2017
CVE-2017-0558	A-34056274	काफ़ी हद तक ठीक है	सभी	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	सिर्फ़ Google के लिए

libskia में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका

libskia में, जानकारी ज़ाहिर करने से जुड़ी एक जोखिम वाली समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की सुविधा मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल अनुमति के बिना डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0559	A-33897722	काफ़ी हद तक ठीक है	सभी	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	25 दिसंबर, 2016

फ़ैक्ट्री रीसेट करने की सुविधा में, जानकारी ज़ाहिर होने की जोखिम

फ़ैक्ट्री रीसेट की प्रोसेस में, जानकारी ज़ाहिर करने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला व्यक्ति, पिछले मालिक का डेटा ऐक्सेस कर सकता है. डिवाइस की सुरक्षा को बायपास करने की संभावना की वजह से, इस समस्या को 'मध्यम' के तौर पर रेट किया गया है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2017-0560	A-30681079	काफ़ी हद तक ठीक है	सभी	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1	सिर्फ़ Google के लिए

05-04-2017 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या के बारे में जानकारी

यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-04-2017 के पैच लेवल पर लागू होती हैं. इसमें समस्या के बारे में जानकारी, गंभीरता की वजह, और एक टेबल होती है. इस टेबल में सीवीई, इससे जुड़े रेफ़रंस, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए AOSP वर्शन (जहां लागू हो), और शिकायत करने की तारीख शामिल होती है. जब उपलब्ध होगा, तो हम उस सार्वजनिक बदलाव को लिंक करेंगे जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.

Broadcom वाई-फ़ाई फ़र्मवेयर में, रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या

Broadcom वाई-फ़ाई फ़र्मवेयर में, रिमोट कोड लागू करने की एक गड़बड़ी है. इसकी वजह से, रिमोट से हमलावर वाई-फ़ाई SoC के संदर्भ में, मनमुताबिक कोड लागू कर सकता है. वाई-फ़ाई SoC के संदर्भ में, रिमोट से कोड लागू करने की संभावना की वजह से, इस समस्या को गंभीर माना गया है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0561	A-34199105* B-RB#110814	सबसे अहम	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	9 जनवरी, 2017

* इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

Qualcomm क्रिप्टो इंजन ड्राइवर में, रिमोट कोड एक्ज़ीक्यूशन की कमज़ोरी

Qualcomm क्रिप्टो इंजन ड्राइवर में, रिमोट कोड एक्ज़ीक्यूशन की एक कमज़ोरी है. इसकी वजह से, रिमोट से हमलावर, कर्नेल के संदर्भ में कोई भी कोड एक्ज़ीक्यूट कर सकता है. इस समस्या को गंभीर के तौर पर रेटिंग दी गई है, क्योंकि इसकी वजह से कर्नेल के संदर्भ में रिमोट कोड को चलाया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-10230	A-34389927 QC-CR#1091408	सबसे अहम	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	10 जनवरी, 2017

कर्नेल नेटवर्किंग सबसिस्टम में, रिमोट कोड एक्ज़ीक्यूशन की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या

कर्नेल नेटवर्किंग सबसिस्टम में रिमोट कोड प्रोग्राम चलाने की कमज़ोरी की वजह से, रिमोट से हमलावर कर्नेल के संदर्भ में कोई भी कोड चला सकता है. इस समस्या को गंभीर के तौर पर रेटिंग दी गई है, क्योंकि इसकी वजह से कर्नेल के संदर्भ में, रिमोट कोड को चलाया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-10229	A-32813456 अपस्ट्रीम कर्नेल	सबसे अहम	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player	सिर्फ़ Google के लिए

MediaTek टचस्क्रीन ड्राइवर में, विशेषाधिकार हासिल करने की सुविधा से जुड़ी जोखिम

MediaTek टचस्क्रीन ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0562	A-30202425* M-ALPS02898189	गंभीर*	कोई नहीं**	16 जुलाई, 2016

** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.

HTC टचस्क्रीन ड्राइवर में, खास सुविधाओं के ऐक्सेस की सुविधा का गलत इस्तेमाल करने की सुविधा

HTC टचस्क्रीन ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0563	A-32089409*	सबसे अहम	Nexus 9	9 अक्टूबर, 2016

कर्नेल ION सबसिस्टम में, ऐक्सेस लेवल बढ़ाने की सुविधा से जुड़ी जोखिम

कर्नेल ION सबसिस्टम में, विशेषाधिकार की सुरक्षा से जुड़ी कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को गंभीर माना गया है, क्योंकि इससे डिवाइस के साथ हमेशा के लिए छेड़छाड़ की जा सकती है. डिवाइस को ठीक करने के लिए, ऑपरेटिंग सिस्टम को फिर से फ़्लैश करना पड़ सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0564	A-34276203*	सबसे अहम	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus Player	12 जनवरी, 2017

Qualcomm के कॉम्पोनेंट में जोखिम की आशंकाएं

इन कमजोरियों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm AMSS के अक्टूबर 2016 के सुरक्षा बुलेटिन में दी गई है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-10237	A-31628601** QC-CR#1046751	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2016-10238	A-35358527** QC-CR#1042558	सबसे अहम	कोई नहीं***	Qualcomm इंटरनल
CVE-2016-10239	A-31624618** QC-CR#1032929	ज़्यादा	Pixel, Pixel XL	Qualcomm इंटरनल

* इन जोखिमों की गंभीरता की रेटिंग, वेंडर ने तय की है.

*** Android 7.0 या इसके बाद के वर्शन वाले उन Google डिवाइसों पर इस समस्या का असर नहीं पड़ेगा जिन पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हैं.

v8 में रिमोट कोड को लागू करने से जुड़ी सुरक्षा से जुड़ी समस्या

v8 में रिमोट कोड प्रोग्राम चलाने की सुविधा से जुड़ी कमज़ोरी की वजह से, रिमोट से हमलावर किसी खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चला सकते हैं. वेबसाइटों में रिमोट कोड लागू होने की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2016-5129	A-29178923	ज़्यादा	कोई नहीं*	6.0, 6.0.1, 7.0	20 जुलाई, 2016

* Android 7.0 या इसके बाद के वर्शन पर काम करने वाले Google डिवाइसों पर, इस समस्या का असर नहीं पड़ता. हालांकि, इसके लिए ज़रूरी है कि उन डिवाइसों पर सभी उपलब्ध अपडेट इंस्टॉल किए गए हों.

Freetype में रिमोट कोड लागू करने की सुविधा से जुड़ी सुरक्षा से जुड़ी समस्या

Freetype में रिमोट कोड प्रोग्राम चलाए जाने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास तौर पर तैयार किया गया फ़ॉन्ट लोड करने की अनुमति मिल सकती है. इससे, बिना अनुमति वाली प्रोसेस में मेमोरी खराब हो सकती है. इस लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन में, रिमोट कोड एक्ज़ीक्यूशन की संभावना की वजह से, इस समस्या को 'गंभीर' के तौर पर रेट किया गया है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	AOSP के अपडेट किए गए वर्शन	रिपोर्ट तारीख
CVE-2016-10244	A-31470908	ज़्यादा	कोई नहीं*	4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0	13 सितंबर, 2016

कर्नेल साउंड सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

कर्नेल साउंड सबसिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2014-4656	A-34464977 अपस्ट्रीम कर्नेल	ज़्यादा	Nexus 6, Nexus Player	26 जून, 2014

NVIDIA क्रिप्टो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना

NVIDIA क्रिप्टो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला लोकल ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0339	A-27930566* N-CVE-2017-0339	ज़्यादा	Nexus 9	29 मार्च, 2016
CVE-2017-0332	A-33812508* N-CVE-2017-0332	ज़्यादा	Nexus 9	21 दिसंबर, 2016
CVE-2017-0327	A-33893669* N-CVE-2017-0327	ज़्यादा	Nexus 9	24 दिसंबर, 2016

MediaTek थर्मल ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम

MediaTek थर्मल ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी कमज़ोरी की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0565	A-28175904* M-ALPS02696516	ज़्यादा	कोई नहीं**	11 अप्रैल, 2016

MediaTek कैमरा ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना

MediaTek कैमरा ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0566	A-28470975* M-ALPS02696367	ज़्यादा	कोई नहीं**	29 अप्रैल, 2016

Broadcom वाई-फ़ाई ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम

Broadcom Wi-Fi ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0567	A-32125310* B-RB#112575	ज़्यादा	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	12 अक्टूबर, 2016
CVE-2017-0568	A-34197514* B-RB#112600	ज़्यादा	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	9 जनवरी, 2017
CVE-2017-0569	A-34198729* B-RB#110666	ज़्यादा	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	9 जनवरी, 2017
CVE-2017-0570	A-34199963* B-RB#110688	ज़्यादा	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	9 जनवरी, 2017
CVE-2017-0571	A-34203305* B-RB#111541	ज़्यादा	Nexus 6, Nexus 6P, Pixel C, Nexus Player	9 जनवरी, 2017
CVE-2017-0572	A-34198931* B-RB#112597	ज़्यादा	कोई नहीं**	9 जनवरी, 2017
CVE-2017-0573	A-34469904* B-RB#91539	ज़्यादा	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	18 जनवरी, 2017
CVE-2017-0574	A-34624457* B-RB#113189	ज़्यादा	Nexus 6, Nexus 6P, Nexus 9, Pixel C	22 जनवरी, 2017

Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना

Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0575	A-32658595* QC-CR#1103099	ज़्यादा	Nexus 5X, Pixel, Pixel XL	3 नवंबर, 2016

NVIDIA I2C HID ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम

NVIDIA I2C HID ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0325	A-33040280* N-CVE-2017-0325	ज़्यादा	Nexus 9, Pixel C	20 नवंबर, 2016

Qualcomm ऑडियो ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

Qualcomm ऑडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0454	A-33353700 QC-CR#1104067	ज़्यादा	Nexus 5X, Nexus 6P, Pixel, Pixel XL	5 दिसंबर, 2016

Qualcomm क्रिप्टो इंजन ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या

Qualcomm क्रिप्टो इंजन ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0576	A-33544431 QC-CR#1103089	ज़्यादा	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	9 दिसंबर, 2016

HTC टचस्क्रीन ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या

HTC टचस्क्रीन ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0577	A-33842951*	ज़्यादा	कोई नहीं**	21 दिसंबर, 2016

DTS साउंड ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी समस्या

DTS साउंड ड्राइवर में प्रिविलेज एस्केलेशन की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0578	A-33964406*	ज़्यादा	कोई नहीं**	28 दिसंबर, 2016

Qualcomm साउंड कोडेक ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या

Qualcomm साउंड कोडेक ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई नुकसान पहुंचाने वाला लोकल ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-10231	A-33966912 QC-CR#1096799	ज़्यादा	Pixel, Pixel XL	29 दिसंबर, 2016

Qualcomm वीडियो ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम

Qualcomm वीडियो ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0579	A-34125463* QC-CR#1115406	ज़्यादा	Nexus 5X, Nexus 6P, Pixel, Pixel XL	5 जनवरी, 2017
CVE-2016-10232	A-34386696 QC-CR#1024872 [2]	ज़्यादा	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	10 जनवरी, 2017
CVE-2016-10233	A-34389926 QC-CR#897452	ज़्यादा	कोई नहीं**	10 जनवरी, 2017

NVIDIA बूट और पावर मैनेजमेंट प्रोसेसर ड्राइवर में, ऐक्सेस लेवल से जुड़ी जोखिम की बढ़ोतरी

NVIDIA के बूट और पावर मैनेजमेंट प्रोसेसर ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, बूट और पावर मैनेजमेंट प्रोसेसर के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0329	A-34115304* N-CVE-2017-0329	ज़्यादा	Pixel C	5 जनवरी, 2017

Synaptics टचस्क्रीन ड्राइवर में, विशेषाधिकार हासिल करने की सुविधा से जुड़ी जोखिम

Synaptics टचस्क्रीन ड्राइवर में, विशेषाधिकार बढ़ाने की जोखिम की वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, कर्नेल के संदर्भ में मनमुताबिक कोड चला सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0580	A-34325986*	ज़्यादा	कोई नहीं**	16 जनवरी, 2017
CVE-2017-0581	A-34614485*	ज़्यादा	कोई नहीं**	22 जनवरी, 2017

Qualcomm Seemp ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या

Qualcomm Seemp ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0462	A-33353601 QC-CR#1102288	ज़्यादा	Pixel, Pixel XL	सिर्फ़ Google के लिए

Qualcomm Kyro L2 ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम

Qualcomm Kyro L2 ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-6423	A-32831370 QC-CR#1103158	ज़्यादा	Pixel, Pixel XL	सिर्फ़ Google के लिए

कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस की जोखिम

कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले लोकल ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2014-9922	A-32761463 अपस्ट्रीम कर्नेल	ज़्यादा	Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus Player	24 अक्टूबर, 2014

कर्नेल मेमोरी सबसिस्टम में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

कर्नेल मेमोरी सबसिस्टम में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2014-0206	A-34465735 अपस्ट्रीम कर्नेल	ज़्यादा	Nexus 6, Nexus Player	6 मई, 2014

कर्नेल नेटवर्किंग सबसिस्टम में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

कर्नेल नेटवर्किंग सबसिस्टम में जानकारी ज़ाहिर करने की जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2014-3145	A-34469585 अपस्ट्रीम कर्नेल [2]	ज़्यादा	Nexus 6, Nexus Player	9 मई, 2014

Qualcomm TrustZone में, जानकारी ज़ाहिर होने की जोखिम

Qualcomm TrustZone में जानकारी ज़ाहिर करने की समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-5349	A-29083830 QC-CR#1021945 [2] [3] [4]	ज़्यादा	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	1 जून, 2016

Qualcomm IPA ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की आशंका

Qualcomm IPA ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसका इस्तेमाल उपयोगकर्ता की अनुमति के बिना संवेदनशील डेटा ऐक्सेस करने के लिए किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-10234	A-34390017 QC-CR#1069060 [2]	ज़्यादा	Nexus 5X, Nexus 6P, Pixel, Pixel XL	10 जनवरी, 2017

कर्नेल नेटवर्किंग सबसिस्टम में, सेवा में रुकावट की समस्या

कर्नेल नेटवर्किंग सबसिस्टम में, सेवा अस्वीकार करने की समस्या की वजह से, रिमोट से हमला करने वाला व्यक्ति, डिवाइस को हैंग करने या रीबूट करने के लिए, खास तौर पर तैयार किए गए नेटवर्क पैकेट का इस्तेमाल कर सकता है. इस समस्या को 'गंभीर' के तौर पर रेट किया गया है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2014-2706	A-34160553 अपस्ट्रीम कर्नेल	ज़्यादा	Nexus Player	1 अप्रैल, 2014

Qualcomm वाई-फ़ाई ड्राइवर में, सेवा में रुकावट की समस्या

Qualcomm वाई-फ़ाई ड्राइवर में, सेवा में रुकावट डालने से जुड़ी एक समस्या है. इसकी वजह से, आस-पास मौजूद कोई हमलावर वाई-फ़ाई सबसिस्टम में सेवा में रुकावट डाल सकता है. इस समस्या को 'ज़्यादा' रेटिंग दी गई है, क्योंकि इसकी वजह से रिमोट डिनाइल ऑफ़ सर्विस (डीओएस) की संभावना हो सकती है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-10235	A-34390620 QC-CR#1046409	ज़्यादा	कोई नहीं**	10 जनवरी, 2017

कर्नेल फ़ाइल सिस्टम में, खास सुविधाओं के ऐक्सेस की जोखिम

कर्नेल फ़ाइल सिस्टम में, ऐक्सेस लेवल की सुविधा का गलत इस्तेमाल करने से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल के बाहर, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है. हालांकि, मौजूदा प्लैटफ़ॉर्म कॉन्फ़िगरेशन की वजह से, इस समस्या को कम किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-7097	A-32458736 अपस्ट्रीम कर्नेल	काफ़ी हद तक ठीक है	Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus Player	28 अगस्त, 2016

Qualcomm वाई-फ़ाई ड्राइवर में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम की संभावना

Qualcomm वाई-फ़ाई ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' रेटिंग दी गई है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है. साथ ही, इस समस्या के असर को कम करने के लिए, इसकी खास जानकारी दी गई है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-6424	A-32086742 QC-CR#1102648	काफ़ी हद तक ठीक है	Nexus 5X, Pixel, Pixel XL, Android One	9 अक्टूबर, 2016

Broadcom वाई-फ़ाई ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी जोखिम

Broadcom Wi-Fi ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है. हालांकि, मौजूदा प्लैटफ़ॉर्म कॉन्फ़िगरेशन की मदद से, इस समस्या को कम किया जा सकता है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-8465	A-32474971* B-RB#106053	काफ़ी हद तक ठीक है	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	27 अक्टूबर, 2016

HTC OEM fastboot कमांड में, खास सुविधाओं के ऐक्सेस से जुड़ी जोखिम

HTC OEM फ़ास्टबूट कमांड में, ऐक्सेस लेवल की कमज़ोरी की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को सेंसर हब के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले अलग-अलग कमजोरियों का फ़ायदा उठाना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0582	A-33178836*	काफ़ी हद तक ठीक है	Nexus 9	28 नवंबर, 2016

Qualcomm CP ऐक्सेस ड्राइवर में, ऐक्सेस लेवल बढ़ाने से जुड़ी समस्या

Qualcomm CP ऐक्सेस ड्राइवर में, विशेषाधिकार बढ़ाने से जुड़ी जोखिम की वजह से, किसी नुकसान पहुंचाने वाले स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' रेटिंग दी गई है, क्योंकि इसके लिए सबसे पहले, किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है. साथ ही, इस समस्या के असर को कम करने के लिए, इसकी खास जानकारी दी गई है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0583	A-32068683 QC-CR#1103788	काफ़ी हद तक ठीक है	Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One	सिर्फ़ Google के लिए

कर्नेल मीडिया ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

कर्नेल मीडिया ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2014-1739	A-34460642 अपस्ट्रीम कर्नेल	काफ़ी हद तक ठीक है	Nexus 6, Nexus 9, Nexus Player	15 जून, 2014

Qualcomm वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

Qualcomm वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम की वजह से, कोई नुकसान पहुंचाने वाला स्थानीय ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0584	A-32074353* QC-CR#1104731	काफ़ी हद तक ठीक है	Nexus 5X, Pixel, Pixel XL	9 अक्टूबर, 2016

Broadcom वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

Broadcom वाई-फ़ाई ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0585	A-32475556* B-RB#112953	काफ़ी हद तक ठीक है	Nexus 6, Nexus 6P, Nexus 9, Pixel C, Nexus Player	27 अक्टूबर, 2016

Qualcomm Avtimer ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

Qualcomm Avtimer ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-5346	A-32551280 QC-CR#1097878	काफ़ी हद तक ठीक है	Pixel, Pixel XL	29 अक्टूबर, 2016

Qualcomm वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

Qualcomm वीडियो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-6425	A-32577085 QC-CR#1103689	काफ़ी हद तक ठीक है	Pixel, Pixel XL	29 अक्टूबर, 2016

Qualcomm यूएसबी ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी समस्या

Qualcomm USB ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी विशेष प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2016-10236	A-33280689 QC-CR#1102418	काफ़ी हद तक ठीक है	Pixel, Pixel XL	Nov 30, 2016

Qualcomm साउंड ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी समस्या

Qualcomm साउंड ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल से बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0586	A-33649808 QC-CR#1097569	काफ़ी हद तक ठीक है	Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One	13 दिसंबर, 2016

Qualcomm SPMI ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी जोखिम

Qualcomm SPMI ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक समस्या है. इसकी वजह से, कोई स्थानीय नुकसान पहुंचाने वाला ऐप्लिकेशन, अनुमति के लेवल के बाहर का डेटा ऐक्सेस कर सकता है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-6426	A-33644474 QC-CR#1106842	काफ़ी हद तक ठीक है	Pixel, Pixel XL	14 दिसंबर, 2016

NVIDIA क्रिप्टो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी समस्या

NVIDIA क्रिप्टो ड्राइवर में, जानकारी ज़ाहिर करने से जुड़ी एक कमज़ोरी की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है. इस समस्या को 'मध्यम' के तौर पर रेट किया गया है, क्योंकि इसके लिए पहले किसी खास प्रोसेस को कमज़ोर करना ज़रूरी है.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2017-0328	A-33898322* N-CVE-2017-0328	काफ़ी हद तक ठीक है	कोई नहीं**	24 दिसंबर, 2016
CVE-2017-0330	A-33899858* N-CVE-2017-0330	काफ़ी हद तक ठीक है	कोई नहीं**	24 दिसंबर, 2016

Qualcomm के कॉम्पोनेंट में जोखिम की आशंकाएं

Qualcomm के कॉम्पोनेंट पर असर डालने वाली इन कमजोरियों को 2014 से 2016 के बीच, Qualcomm AMSS के सुरक्षा बुलेटिन के हिस्से के तौर पर रिलीज़ किया गया था. इन्हें इस Android सुरक्षा बुलेटिन में शामिल किया गया है, ताकि इन गड़बड़ियों को ठीक करने के लिए, Android के सुरक्षा पैच लेवल को जोड़ा जा सके.

CVE	रेफ़रंस	गंभीरता	अपडेट किए गए Google डिवाइस	रिपोर्ट तारीख
CVE-2014-9931	A-35445101**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2014-9932	A-35434683**	सबसे अहम	Pixel, Pixel XL	Qualcomm इंटरनल
CVE-2014-9933	A-35442512**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2014-9934	A-35439275**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2014-9935	A-35444951**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2014-9936	A-35442420**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2014-9937	A-35445102**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2015-8995	A-35445002**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2015-8996	A-35444658**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2015-8997	A-35432947**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2015-8998	A-35441175**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2015-8999	A-35445401**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2015-9000	A-35441076**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2015-9001	A-35445400**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2015-9002	A-35442421**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2015-9003	A-35440626**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल
CVE-2016-10242	A-35434643**	सबसे अहम	कोई नहीं**	Qualcomm इंटरनल

* इन जोखिमों की गंभीरता की रेटिंग, वेंडर ने तय की है.

** इस समस्या का पैच सार्वजनिक तौर पर उपलब्ध नहीं है. यह अपडेट, Google Developer साइट पर उपलब्ध Nexus डिवाइसों के लिए, सबसे नए बाइनरी ड्राइवर में शामिल है.

अक्सर पूछे जाने वाले सवाल और उनके जवाब

इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.

1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.

01-04-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 01-04-2017 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.
05-04-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 05-04-2017 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को ठीक करते हैं.

जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:

[ro.build.version.security_patch]:[2017-04-01]
[ro.build.version.security_patch]:[2017-04-05]

2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?

इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.

जिन डिवाइसों में 01 अप्रैल, 2017 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
जिन डिवाइसों में 05 अप्रैल, 2017 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.

हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.

3. मुझे कैसे पता चलेगा कि हर समस्या का असर किन Google डिवाइसों पर पड़ा है?

01-04-2017 और 05-04-2017 के सुरक्षा से जुड़ी समस्याओं की जानकारी वाले सेक्शन में, हर टेबल में एक अपडेट किए गए Google डिवाइस कॉलम होता है. इसमें, हर समस्या के लिए अपडेट किए गए उन Google डिवाइसों की जानकारी होती है जिन पर असर पड़ा है. इस कॉलम में कुछ विकल्प होते हैं:

सभी Google डिवाइस: अगर कोई समस्या सभी और Pixel डिवाइसों पर असर डालती है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "सभी" दिखेगा. "सभी" में ये डिवाइस शामिल हैं: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus Player, Pixel C, Pixel, और Pixel XL.
कुछ Google डिवाइस: अगर किसी समस्या का असर सभी Google डिवाइसों पर नहीं पड़ता है, तो जिन डिवाइसों पर असर पड़ा है उनकी सूची अपडेट किए गए Google डिवाइसों कॉलम में दी गई है.
कोई Google डिवाइस नहीं: अगर Android 7.0 पर काम करने वाले किसी भी Google डिवाइस पर इस समस्या का असर नहीं पड़ा है, तो टेबल में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" दिखेगा.

4. रेफ़रंस कॉलम में मौजूद एंट्री किससे मैप होती हैं?

जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है. ये प्रीफ़िक्स इस तरह मैप होते हैं:

प्रीफ़िक्स	रेफ़रंस
A-	Android गड़बड़ी का आईडी
QC-	Qualcomm का रेफ़रंस नंबर
M-	MediaTek का रेफ़रंस नंबर
N-	NVIDIA का रेफ़रंस नंबर
B-	Broadcom का रेफ़रंस नंबर

संशोधन

03 अप्रैल, 2017: बुलेटिन पब्लिश किया गया.
05 अप्रैल, 2017: AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया.
21 अप्रैल, 2017: CVE-2016-10231 और CVE-2017-0586 के लिए एट्रिब्यूशन ठीक किया गया.
27 अप्रैल, 2017: CVE-2017-0540 को बुलेटिन से हटा दिया गया.
17 अगस्त, 2017: रेफ़रंस नंबर अपडेट करने के लिए, बुलेटिन में बदलाव किया गया.