Android सुरक्षा बुलेटिन—अप्रैल 2017

03 अप्रैल 2017 को प्रकाशित | 17 अगस्त 2017 को अपडेट किया गया

एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। बुलेटिन के साथ-साथ, हमने ओवर-द-एयर (ओटीए) अपडेट के माध्यम से नेक्सस डिवाइसों के लिए एक सुरक्षा अपडेट जारी किया है। Google डिवाइस फर्मवेयर छवियां Google डेवलपर साइट पर भी जारी की गई हैं। 05 अप्रैल, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

बुलेटिन में वर्णित मुद्दों के बारे में भागीदारों को 06 मार्च, 2017 या उससे पहले सूचित किया गया था। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।

इनमें से सबसे गंभीर समस्या एक गंभीर सुरक्षा भेद्यता है जो मीडिया फ़ाइलों को संसाधित करते समय ईमेल, वेब ब्राउज़िंग और एमएमएस जैसे कई तरीकों के माध्यम से प्रभावित डिवाइस पर रिमोट कोड निष्पादन को सक्षम कर सकती है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन विकास उद्देश्यों के लिए अक्षम हैं या यदि सफलतापूर्वक बायपास किए गए हैं।

हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और SafetyNet जैसी सेवा सुरक्षा पर विवरण के लिए एंड्रॉइड और Google सेवा शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करता है।

हम सभी ग्राहकों को अपने डिवाइस पर इन अपडेट को स्वीकार करने के लिए प्रोत्साहित करते हैं।

घोषणाएं

  • इस बुलेटिन में एंड्रॉइड भागीदारों को सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने की लचीलापन प्रदान करने के लिए दो सुरक्षा पैच स्तर की स्ट्रिंग हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-04-01 : आंशिक सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-04-01 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-04-05 : पूर्ण सुरक्षा पैच लेवल स्ट्रिंग। यह सुरक्षा पैच लेवल स्ट्रिंग इंगित करती है कि 2017-04-01 और 2017-04-05 (और सभी पिछले सुरक्षा पैच लेवल स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
  • समर्थित Google उपकरणों को 05 अप्रैल, 2017 सुरक्षा पैच स्तर के साथ एक एकल OTA अपडेट प्राप्त होगा।

Android और Google सेवा शमन

यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और सेफ्टीनेट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।

  • एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Verify Apps और SafetyNet के साथ दुरुपयोग की निगरानी करती है, जो उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देने के लिए डिज़ाइन किया गया है। सत्यापित ऐप्स Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं। Google Play में डिवाइस रूटिंग टूल प्रतिबंधित हैं, लेकिन Verify Apps उपयोगकर्ताओं को चेतावनी देता है जब वे किसी ज्ञात रूटिंग एप्लिकेशन को इंस्टॉल करने का प्रयास करते हैं - चाहे वह कहीं से भी आया हो। इसके अतिरिक्त, Verify Apps ज्ञात दुर्भावनापूर्ण एप्लिकेशन की स्थापना को पहचानने और ब्लॉक करने का प्रयास करता है जो विशेषाधिकार वृद्धि भेद्यता का फायदा उठाते हैं। यदि ऐसा कोई एप्लिकेशन पहले ही इंस्टॉल हो चुका है, तो Verify Apps उपयोगकर्ता को सूचित करेगा और पता लगाए गए एप्लिकेशन को हटाने का प्रयास करेगा।
  • जैसा उचित हो, Google Hangouts और मैसेंजर एप्लिकेशन स्वचालित रूप से मीडिया को मीडियासर्वर जैसी प्रक्रियाओं में पास नहीं करते हैं।

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

  • शेलफिश ग्रिल टीम के अरविंद माचिरी (डोनफोस): सीवीई-2016-5349
  • ज़ुआनवु लैब, टेनसेंट के डैक्सिंग गुओ ( @freener0 ): CVE-2017-0585, CVE-2017-0553
  • डेरेक ( @derrekr6 ) और स्कॉट बाउर: CVE-2017-0576
  • प्रोजेक्ट ज़ीरो की गैल बेनियामिनी: CVE-2017-0571, CVE-2017-0570, CVE-2017-0572, CVE-2017-0569, CVE-2017-0561
  • गेंग्जिया चेन ( @chengjia4574 ) और आइसस्वॉर्ड लैब, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के पीजेएफ : सीवीई-2017-6426, सीवीई-2017-0581, सीवीई-2017-0329, सीवीई-2017-0332, सीवीई-2017-0566, सीवीई-2017-0573
  • अल्फा टीम के गुआंग गोंग (龚广) ( @oldfresher ), Qihoo 360 टेक्नोलॉजी कंपनी लिमिटेड: CVE-2017-0547
  • अल्फा टीम के हाओ चेन और गुआंग गोंग, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2017-6424, सीवीई-2017-0584, सीवीई-2017-0454, सीवीई-2017-0574, सीवीई-2017-0575, सीवीई-2017 -0567
  • इयान फोस्टर ( @lanrat ): CVE-2017-0554
  • ट्रेंड माइक्रो इंक. के जैक टैंग: सीवीई-2017-0579
  • Qihoo 360 स्काईआई लैब्स के जियानजुन दाई ( @Jioun_dai ) : CVE-2017-0559, CVE-2017-0541
  • जियानकियांग झाओ ( @jianqiangzhao ) और आइसस्वॉर्ड लैब के पीजेएफ , क्यूहू 360: सीवीई-2017-6425, सीवीई-2016-5346
  • C0RE टीम के लुबो झांग ( zlbzlb815@163.com ) और आइसस्वॉर्ड लैब के योंगगांग गुओ ( @guoygang ), किहू 360 टेक्नोलॉजी कंपनी लिमिटेड: CVE-2017-0564
  • Google के मार्क सैलिज़िन : CVE-2017-0558
  • टेस्ला की उत्पाद सुरक्षा टीम के माइक एंडरसन ( @manderbot ) और नाथन क्रैन्डल ( @netcray ): CVE-2017-0327, CVE-2017-0328
  • पेंग जिओ, चेंगमिंग यांग, निंग यू, चाओ यांग और अलीबाबा मोबाइल सिक्योरिटी ग्रुप का यांग गीत: CVE-2017-0565
  • पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), और Baidu एक्स-लैब (百度安全实验室) के लेनक्स वेई (韦韬): CVE-2016-10236
  • कीनलैब, टेनसेंट के क़िदान हे (何淇丹 - @flanker_hqd ): CVE-2017-0544, CVE-2017-0325
  • एलेफ रिसर्च, एचसीएल टेक्नोलॉजीज के रोई हे ( @roeehay ): CVE-2017-0582, CVE-2017-0563
  • स्कॉट बाउर ( @ScottyBauer1 ): CVE-2017-0562, CVE-2017-0339
  • ट्रेंडमाइक्रो मोबाइल थ्रेट रिसर्च टीम के सेवन शेन ( @lingtongshen ): CVE-2016-10231, CVE-2017-0578, CVE-2017-0586
  • टिम बेकर: सीवीई-2017-0546
  • उमा शंकर प्रधान ( @umasankar_iitd ): CVE-2017-0560
  • मोबाइल थ्रेट रिस्पांस टीम के VEO ( @VYSEa ), ट्रेंड माइक्रो : CVE-2017-0555, CVE-2017-0538, CVE-2017-0539, CVE-2017-0557, CVE-2017-0556
  • अलीबाबा इंक के वीचाओ सन ( @sunblate ): CVE-2017-0549
  • वेनलिन यांग ( @वेनलिन_यांग ), गुआंग गोंग ( @ओल्डफ्रेशर ), और अल्फा टीम के हाओ चेन, क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड: सीवीई-2017-0580, सीवीई-2017-0577
  • क्यूहू 360 टेक्नोलॉजी कंपनी लिमिटेड के चेंगदू सुरक्षा प्रतिक्रिया केंद्र से ज़िनुओ हान : सीवीई-2017-0548
  • Google के ज़ुबिन मिथ्रा: CVE-2017-0462

2017-04-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-04-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता के साथ एक तालिका है। अद्यतन Google उपकरण, अद्यतन AOSP संस्करण (जहाँ लागू हो), और रिपोर्ट की गई तारीख। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

मीडियासर्वर में रिमोट कोड निष्पादन भेद्यता

मीडियासर्वर में एक रिमोट कोड निष्पादन भेद्यता एक हमलावर को मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है। मीडियासर्वर प्रक्रिया के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0538 ए-33641588 गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 13 दिसंबर 2016
सीवीई-2017-0539 ए-33864300 गंभीर सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 23 दिसम्बर 2016
सीवीई-2017-0541 ए-34031018 गंभीर सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 1 जनवरी 2017
सीवीई-2017-0542 ए-33934721 गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक
सीवीई-2017-0543 ए-34097866 गंभीर सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

कैमराबेस में विशेषाधिकार भेद्यता का बढ़ना

कैमराबेस में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि यह एक विशेषाधिकार प्राप्त प्रक्रिया में स्थानीय मनमाना कोड निष्पादन है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0544 ए-31992879 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 6 अक्टूबर 2016

ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना

ऑडियोसर्वर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0545 ए-32591350 उच्च सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 31 अक्टूबर 2016

सरफेसफ्लिंगर में विशेषाधिकार भेद्यता का बढ़ना

सरफेसफ्लिंगर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक स्थानीय पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0546 ए-32628763 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 2 नवंबर 2016

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि यह ऑपरेटिंग सिस्टम सुरक्षा के लिए एक सामान्य बाईपास है जो एप्लिकेशन डेटा को अन्य एप्लिकेशन से अलग करता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0547 ए-33861560 उच्च सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 22 दिसंबर 2016

लिब्स्किया में सेवा भेद्यता से इनकार

लिब्स्किया में सेवा भेद्यता का एक दूरस्थ खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0548 ए-33251605 उच्च सभी 7.0, 7.1.1 29 नवंबर 2016

मीडियासर्वर में सेवा भेद्यता का खंडन

मीडियासर्वर में सेवा भेद्यता का एक दूरस्थ खंडन एक हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च गंभीरता का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0549 ए-33818508 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 20 दिसंबर 2016
सीवीई-2017-0550 ए-33933140 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक
सीवीई-2017-0551 ए-34097231 [ 2 ] उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक
सीवीई-2017-0552 ए-34097915 उच्च सभी 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

लिबएनएल में विशेषाधिकार भेद्यता का बढ़ना

लिबएनएल में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को वाई-फाई सेवा के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा इसे कम किया जाता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0553 ए-32342065 मध्यम सभी 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 21 अक्टूबर 2016

टेलीफोनी में विशेषाधिकार भेद्यता का बढ़ना

टेलीफ़ोनी घटक में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर क्षमताओं तक पहुँचने में सक्षम कर सकता है। इस मुद्दे को मॉडरेट के रूप में रेट किया गया है क्योंकि इसका उपयोग उन्नत क्षमताओं तक पहुंच प्राप्त करने के लिए किया जा सकता है, जो सामान्य रूप से तीसरे पक्ष के एप्लिकेशन के लिए पहुंच योग्य नहीं हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0554 ए-33815946 [ 2 ] मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 20 दिसंबर 2016

मीडियासर्वर में सूचना प्रकटीकरण भेद्यता

मीडियासर्वर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0555 ए-33551775 मध्यम सभी 6.0, 6.0.1, 7.0, 7.1.1 12 दिसंबर 2016
सीवीई-2017-0556 ए-34093952 मध्यम सभी 6.0, 6.0.1, 7.0, 7.1.1 4 जनवरी 2017
सीवीई-2017-0557 ए-34093073 मध्यम सभी 6.0, 6.0.1, 7.0, 7.1.1 4 जनवरी 2017
सीवीई-2017-0558 ए-34056274 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

लिब्स्किया में सूचना प्रकटीकरण भेद्यता

लिबस्किया में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसका उपयोग बिना अनुमति के डेटा तक पहुँचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0559 ए-33897722 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 25 दिसंबर 2016

फ़ैक्टरी रीसेट में सूचना प्रकटीकरण भेद्यता

फ़ैक्टरी रीसेट प्रक्रिया में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण हमलावर को पिछले मालिक के डेटा तक पहुंचने में सक्षम कर सकती है। डिवाइस सुरक्षा को बायपास करने की संभावना के कारण इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2017-0560 ए-30681079 मध्यम सभी 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 गूगल आंतरिक

2017-04-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-04-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। इसमें समस्या का विवरण, गंभीरता का तर्क और सीवीई, संबंधित संदर्भ, गंभीरता, अपडेट किए गए Google डिवाइस, अपडेट किए गए एओएसपी संस्करण (जहां लागू हो), और रिपोर्ट की गई तारीख के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करेंगे जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।

ब्रॉडकॉम वाई-फाई फर्मवेयर में रिमोट कोड निष्पादन भेद्यता

ब्रॉडकॉम वाई-फाई फर्मवेयर में एक रिमोट कोड निष्पादन भेद्यता एक रिमोट हमलावर को वाई-फाई एसओसी के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। वाई-फ़ाई SoC के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0561 ए-34199105*
बी-आरबी#110814		 गंभीर नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर 9 जनवरी 2017

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम क्रिप्टो इंजन ड्राइवर में रिमोट कोड निष्पादन भेद्यता

क्वालकॉम क्रिप्टो इंजन ड्राइवर में एक रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-10230 ए-34389927
क्यूसी-सीआर#1091408		 गंभीर Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 10 जनवरी 2017

कर्नेल नेटवर्किंग सबसिस्टम में रिमोट कोड निष्पादन भेद्यता

कर्नेल नेटवर्किंग सबसिस्टम में एक रिमोट कोड निष्पादन भेद्यता एक दूरस्थ हमलावर को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। कर्नेल के संदर्भ में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को गंभीर माना गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-10229 ए-32813456
अपस्ट्रीम कर्नेल		 गंभीर Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus प्लेयर गूगल आंतरिक

मीडियाटेक टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0562 ए-30202425*
एम-एएलपीएस02898189		 गंभीर* कोई नहीं** 16 जुलाई 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

एचटीसी टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

एचटीसी टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0563 ए-32089409*
 गंभीर नेक्सस 9 9 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ION सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। स्थानीय स्थायी डिवाइस से समझौता होने की संभावना के कारण इस समस्या को गंभीर माना गया है, जिससे डिवाइस की मरम्मत के लिए ऑपरेटिंग सिस्टम को रीफ़्लैश करने की आवश्यकता हो सकती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0564 ए-34276203*
 गंभीर Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Pixel C, Android One, Nexus प्लेयर 12 जनवरी 2017

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम घटकों में कमजोरियाँ

ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और क्वालकॉम एएमएसएस अक्टूबर 2016 सुरक्षा बुलेटिन में आगे विस्तार से वर्णित हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-10237 ए-31628601**
क्यूसी-सीआर#1046751		 गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2016-10238 ए-35358527**
क्यूसी-सीआर#1042558		 गंभीर कोई नहीं*** क्वालकॉम आंतरिक
सीवीई-2016-10239 ए-31624618**
क्यूसी-सीआर#1032929		 उच्च पिक्सेल, पिक्सेल एक्सएल क्वालकॉम आंतरिक

* इन कमजोरियों की गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

*** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

V8 में रिमोट कोड निष्पादन भेद्यता

V8 में एक दूरस्थ कोड निष्पादन भेद्यता दूरस्थ हमलावरों को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है। वेबसाइटों में रिमोट कोड निष्पादन की संभावना के कारण इस मुद्दे को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-5129 ए-29178923 उच्च कोई नहीं* 6.0, 6.0.1, 7.0 20 जुलाई 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

फ्रीटाइप में रिमोट कोड निष्पादन भेद्यता

फ़्रीटाइप में एक रिमोट कोड निष्पादन भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को एक विशेष रूप से तैयार किए गए फ़ॉन्ट को लोड करने में सक्षम कर सकती है, जिससे एक अप्रकाशित प्रक्रिया में मेमोरी भ्रष्टाचार हो सकता है। इस लाइब्रेरी का उपयोग करने वाले एप्लिकेशन में रिमोट कोड निष्पादन की संभावना के कारण इस समस्या को उच्च दर्जा दिया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण अद्यतन AOSP संस्करण दिनांक सूचित किया गया
सीवीई-2016-10244 ए-31470908 उच्च कोई नहीं* 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0 सितम्बर 13, 2016

* एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

कर्नेल ध्वनि उपप्रणाली में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल ध्वनि सबसिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-4656 ए-34464977
अपस्ट्रीम कर्नेल		 उच्च नेक्सस 6, नेक्सस प्लेयर 26 जून 2014

NVIDIA क्रिप्टो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA क्रिप्टो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0339 ए-27930566*
एन-सीवीई-2017-0339		 उच्च नेक्सस 9 मार्च 29, 2016
सीवीई-2017-0332 ए-33812508*
एन-सीवीई-2017-0332		 उच्च नेक्सस 9 21 दिसंबर 2016
सीवीई-2017-0327 ए-33893669*
एन-सीवीई-2017-0327		 उच्च नेक्सस 9 24 दिसंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

मीडियाटेक थर्मल ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक थर्मल ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0565 ए-28175904*
एम-एएलपीएस02696516		 उच्च कोई नहीं** 11 अप्रैल 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

मीडियाटेक कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

मीडियाटेक कैमरा ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0566 ए-28470975*
एम-एएलपीएस02696367		 उच्च कोई नहीं** अप्रैल 29, 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0567 ए-32125310*
बी-आरबी#112575		 उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर 12 अक्टूबर 2016
सीवीई-2017-0568 ए-34197514*
बी-आरबी#112600		 उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर 9 जनवरी 2017
सीवीई-2017-0569 ए-34198729*
बी-आरबी#110666		 उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर 9 जनवरी 2017
सीवीई-2017-0570 ए-34199963*
बी-आरबी#110688		 उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर 9 जनवरी 2017
सीवीई-2017-0571 ए-34203305*
बी-आरबी#111541		 उच्च नेक्सस 6, नेक्सस 6पी, पिक्सेल सी, नेक्सस प्लेयर 9 जनवरी 2017
सीवीई-2017-0572 ए-34198931*
बी-आरबी#112597		 उच्च कोई नहीं** 9 जनवरी 2017
सीवीई-2017-0573 ए-34469904*
बी-आरबी#91539		 उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर 18 जनवरी 2017
सीवीई-2017-0574 ए-34624457*
बी-आरबी#113189		 उच्च नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी 22 जनवरी 2017

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0575 ए-32658595*
क्यूसी-सीआर#1103099		 उच्च नेक्सस 5X, पिक्सेल, पिक्सेल XL 3 नवंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

NVIDIA I2C HID ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA I2C HID ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0325 ए-33040280*
एन-सीवीई-2017-0325		 उच्च नेक्सस 9, पिक्सेल सी 20 नवंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम ऑडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम ऑडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0454 ए-33353700
क्यूसी-सीआर#1104067		 उच्च Nexus 5X, Nexus 6P, Pixel, Pixel XL 5 दिसंबर 2016

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम क्रिप्टो इंजन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0576 ए-33544431
क्यूसी-सीआर#1103089		 उच्च Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 9 दिसंबर 2016

एचटीसी टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

एचटीसी टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0577 ए-33842951*
 उच्च कोई नहीं** 21 दिसंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

डीटीएस साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

डीटीएस साउंड ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0578 ए-33964406*
 उच्च कोई नहीं** 28 दिसंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम साउंड कोडेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम साउंड कोडेक ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-10231 ए-33966912
क्यूसी-सीआर#1096799		 उच्च पिक्सेल, पिक्सेल एक्सएल 29 दिसंबर 2016

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वीडियो ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0579 ए-34125463*
क्यूसी-सीआर#1115406		 उच्च Nexus 5X, Nexus 6P, Pixel, Pixel XL 5 जनवरी 2017
सीवीई-2016-10232 ए-34386696
क्यूसी-सीआर#1024872 [2]		 उच्च Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One 10 जनवरी 2017
सीवीई-2016-10233 ए-34389926
क्यूसी-सीआर#897452		 उच्च कोई नहीं** 10 जनवरी 2017

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

NVIDIA बूट और पावर प्रबंधन प्रोसेसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

NVIDIA बूट और पावर प्रबंधन प्रोसेसर ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को बूट और पावर प्रबंधन प्रोसेसर के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0329 ए-34115304*
एन-सीवीई-2017-0329		 उच्च पिक्सेल सी 5 जनवरी 2017

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

सिनैप्टिक्स टचस्क्रीन ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0580 ए-34325986*
 उच्च कोई नहीं** 16 जनवरी 2017
सीवीई-2017-0581 ए-34614485*
 उच्च कोई नहीं** 22 जनवरी 2017

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम सीम्प ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम सीम्प ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0462 ए-33353601
क्यूसी-सीआर#1102288		 उच्च पिक्सेल, पिक्सेल एक्सएल गूगल आंतरिक

क्वालकॉम Kyro L2 ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम Kyro L2 ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-6423 ए-32831370
क्यूसी-सीआर#1103158		 उच्च पिक्सेल, पिक्सेल एक्सएल गूगल आंतरिक

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को उच्च दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-9922 ए-32761463
अपस्ट्रीम कर्नेल		 उच्च Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Android One, Nexus प्लेयर 24 अक्टूबर 2014

कर्नेल मेमोरी सबसिस्टम में सूचना प्रकटीकरण भेद्यता

कर्नेल मेमोरी सबसिस्टम में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-0206 ए-34465735
अपस्ट्रीम कर्नेल		 उच्च नेक्सस 6, नेक्सस प्लेयर 6 मई 2014

कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता

कर्नेल नेटवर्किंग सबसिस्टम में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-3145 ए-34469585
अपस्ट्रीम कर्नेल [2]		 उच्च नेक्सस 6, नेक्सस प्लेयर 9 मई 2014

क्वालकॉम ट्रस्टज़ोन में सूचना प्रकटीकरण भेद्यता

क्वालकॉम ट्रस्टज़ोन में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-5349 ए-29083830
क्यूसी-सीआर#1021945 [2] [3] [4]		 उच्च Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 1 जून 2016

क्वालकॉम आईपीए ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम आईपीए ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस समस्या को उच्च रेटिंग दी गई है क्योंकि इसका उपयोग उपयोगकर्ता की स्पष्ट अनुमति के बिना संवेदनशील डेटा तक पहुंचने के लिए किया जा सकता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-10234 ए-34390017
क्यूसी-सीआर#1069060 [2]		 उच्च Nexus 5X, Nexus 6P, Pixel, Pixel XL 10 जनवरी 2017

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता का खंडन

कर्नेल नेटवर्किंग सबसिस्टम में सेवा भेद्यता से इनकार एक दूरस्थ हमलावर को डिवाइस को हैंग करने या रीबूट करने के लिए विशेष रूप से तैयार किए गए नेटवर्क पैकेट का उपयोग करने में सक्षम कर सकता है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-2706 ए-34160553
अपस्ट्रीम कर्नेल		 उच्च नेक्सस प्लेयर 1 अप्रैल 2014

क्वालकॉम वाई-फाई ड्राइवर में सेवा भेद्यता का खंडन

क्वालकॉम वाई-फाई ड्राइवर में सेवा से इनकार की भेद्यता एक निकटतम हमलावर को वाई-फाई सबसिस्टम में सेवा से इनकार करने में सक्षम कर सकती है। सेवा को दूरस्थ रूप से अस्वीकार करने की संभावना के कारण इस समस्या को उच्च श्रेणी में रखा गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-10235 ए-34390620
क्यूसी-सीआर#1046409		 उच्च कोई नहीं** 10 जनवरी 2017

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना

कर्नेल फ़ाइल सिस्टम में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा इसे कम किया जाता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-7097 ए-32458736
अपस्ट्रीम कर्नेल		 मध्यम Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Pixel, Pixel XL, Pixel C, Nexus प्लेयर 28 अगस्त 2016

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और भेद्यता विशिष्ट विवरणों के कारण जो मुद्दे के प्रभाव को सीमित करते हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-6424 ए-32086742
क्यूसी-सीआर#1102648		 मध्यम Nexus 5X, Pixel, Pixel XL, Android One 9 अक्टूबर 2016

ब्रॉडकॉम वाई-फाई ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

ब्रॉडकॉम वाई-फ़ाई ड्राइवर में विशेषाधिकार भेद्यता बढ़ने से स्थानीय दुर्भावनापूर्ण एप्लिकेशन कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम हो सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और वर्तमान प्लेटफ़ॉर्म कॉन्फ़िगरेशन द्वारा इसे कम किया जाता है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-8465 ए-32474971*
बी-आरबी#106053		 मध्यम नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर 27 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

HTC OEM फास्टबूट कमांड में विशेषाधिकार भेद्यता का बढ़ना

एचटीसी ओईएम फास्टबूट कमांड में विशेषाधिकार भेद्यता का बढ़ना एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को सेंसर हब के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस समस्या को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए सबसे पहले अलग-अलग कमजोरियों के दोहन की आवश्यकता होती है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0582 ए-33178836*
 मध्यम नेक्सस 9 28 नवंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम सीपी एक्सेस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना

क्वालकॉम सीपी एक्सेस ड्राइवर में विशेषाधिकार भेद्यता का बढ़ना स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकता है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करने की आवश्यकता होती है और भेद्यता विशिष्ट विवरणों के कारण जो मुद्दे के प्रभाव को सीमित करते हैं।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0583 ए-32068683
क्यूसी-सीआर#1103788		 मध्यम Nexus 5X, Nexus 6P, Pixel, Pixel XL, Android One गूगल आंतरिक

कर्नेल मीडिया ड्राइवर में सूचना प्रकटीकरण भेद्यता

कर्नेल मीडिया ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-1739 ए-34460642
अपस्ट्रीम कर्नेल		 मध्यम नेक्सस 6, नेक्सस 9, नेक्सस प्लेयर 15 जून 2014

क्वालकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम वाई-फाई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0584 ए-32074353*
क्यूसी-सीआर#1104731		 मध्यम नेक्सस 5X, पिक्सेल, पिक्सेल XL 9 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

ब्रॉडकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता

ब्रॉडकॉम वाई-फाई ड्राइवर में सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0585 ए-32475556*
बी-आरबी#112953		 मध्यम नेक्सस 6, नेक्सस 6पी, नेक्सस 9, पिक्सेल सी, नेक्सस प्लेयर 27 अक्टूबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

क्वालकॉम Avtimer ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम Avtimer ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-5346 ए-32551280
क्यूसी-सीआर#1097878		 मध्यम पिक्सेल, पिक्सेल एक्सएल 29 अक्टूबर 2016

क्वालकॉम वीडियो ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम वीडियो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-6425 ए-32577085
क्यूसी-सीआर#1103689		 मध्यम पिक्सेल, पिक्सेल एक्सएल 29 अक्टूबर 2016

क्वालकॉम यूएसबी ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम यूएसबी ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2016-10236 ए-33280689
क्यूसी-सीआर#1102418		 मध्यम पिक्सेल, पिक्सेल एक्सएल 30 नवंबर 2016

क्वालकॉम साउंड ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम साउंड ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0586 ए-33649808
क्यूसी-सीआर#1097569		 मध्यम Nexus 5X, Nexus 6, Nexus 6P, Pixel, Pixel XL, Android One 13 दिसंबर 2016

क्वालकॉम एसपीएमआई ड्राइवर में सूचना प्रकटीकरण भेद्यता

क्वालकॉम एसपीएमआई ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-6426 ए-33644474
क्यूसी-सीआर#1106842		 मध्यम पिक्सेल, पिक्सेल एक्सएल 14 दिसंबर 2016

NVIDIA क्रिप्टो ड्राइवर में सूचना प्रकटीकरण भेद्यता

NVIDIA क्रिप्टो ड्राइवर में एक सूचना प्रकटीकरण भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तर के बाहर डेटा तक पहुंचने में सक्षम कर सकती है। इस मुद्दे को मध्यम श्रेणी का दर्जा दिया गया है क्योंकि इसके लिए पहले एक विशेषाधिकार प्राप्त प्रक्रिया से समझौता करना आवश्यक है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2017-0328 ए-33898322*
एन-सीवीई-2017-0328		 मध्यम कोई नहीं** 24 दिसंबर 2016
सीवीई-2017-0330 ए-33899858*
एन-सीवीई-2017-0330		 मध्यम कोई नहीं** 24 दिसंबर 2016

* इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

क्वालकॉम घटकों में कमजोरियाँ

क्वालकॉम घटकों को प्रभावित करने वाली इन कमजोरियों को 2014-2016 के बीच क्वालकॉम एएमएसएस सुरक्षा बुलेटिन के हिस्से के रूप में जारी किया गया था। उनके सुधारों को एंड्रॉइड सुरक्षा पैच स्तर के साथ जोड़ने के लिए उन्हें इस एंड्रॉइड सुरक्षा बुलेटिन में शामिल किया गया है।

सीवीई संदर्भ तीव्रता अद्यतन Google उपकरण दिनांक सूचित किया गया
सीवीई-2014-9931 ए-35445101** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9932 ए-35434683** गंभीर पिक्सेल, पिक्सेल एक्सएल क्वालकॉम आंतरिक
सीवीई-2014-9933 ए-35442512** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9934 ए-35439275** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9935 ए-35444951** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9936 ए-35442420** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2014-9937 ए-35445102** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8995 ए-35445002** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8996 ए-35444658** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8997 ए-35432947** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8998 ए-35441175** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2015-8999 ए-35445401** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2015-9000 ए-35441076** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2015-9001 ए-35445400** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2015-9002 ए-35442421** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2015-9003 ए-35440626** गंभीर कोई नहीं** क्वालकॉम आंतरिक
सीवीई-2016-10242 ए-35434643** गंभीर कोई नहीं** क्वालकॉम आंतरिक

* इन कमजोरियों की गंभीरता रेटिंग विक्रेता द्वारा निर्धारित की गई थी।

** इस समस्या का पैच सार्वजनिक रूप से उपलब्ध नहीं है। यह अपडेट Google डेवलपर साइट पर उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल है।

*** एंड्रॉइड 7.0 या उसके बाद के संस्करण पर समर्थित Google डिवाइस जिन्होंने सभी उपलब्ध अपडेट इंस्टॉल किए हैं, इस भेद्यता से प्रभावित नहीं होते हैं।

सामान्य प्रश्न और उत्तर

यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?

किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें।

  • 2017-04-01 या बाद के सुरक्षा पैच स्तर 2017-04-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
  • 2017-04-05 या बाद के सुरक्षा पैच स्तर 2017-04-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों का समाधान करते हैं।

जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2017-04-01]
  • [ro.build.version.security_patch]:[2017-04-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जो डिवाइस 01 अप्रैल, 2017 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
  • जो डिवाइस 05 अप्रैल, 2017 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।

साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।

3. मैं कैसे निर्धारित करूं कि प्रत्येक समस्या से कौन से Google उपकरण प्रभावित हैं?

2017-04-01 और 2017-04-05 सुरक्षा भेद्यता विवरण अनुभागों में, प्रत्येक तालिका में एक अपडेटेड Google डिवाइस कॉलम है जो प्रत्येक मुद्दे के लिए अपडेट किए गए प्रभावित Google डिवाइसों की श्रेणी को कवर करता है। इस कॉलम में कुछ विकल्प हैं:

  • सभी Google डिवाइस : यदि कोई समस्या सभी और पिक्सेल डिवाइसों को प्रभावित करती है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "सभी" होंगे। "सभी" निम्नलिखित समर्थित डिवाइसों को समाहित करता है: Nexus 5X, Nexus 6, Nexus 6P, Nexus 9, Android One, Nexus प्लेयर, Pixel C, Pixel, और Pixel XL।
  • कुछ Google डिवाइस : यदि कोई समस्या सभी Google डिवाइसों को प्रभावित नहीं करती है, तो प्रभावित Google डिवाइस अपडेट किए गए Google डिवाइस कॉलम में सूचीबद्ध होते हैं।
  • कोई Google डिवाइस नहीं : यदि Android 7.0 पर चलने वाला कोई भी Google डिवाइस समस्या से प्रभावित नहीं है, तो तालिका में अपडेट किए गए Google डिवाइस कॉलम में "कोई नहीं" होगा।

4. संदर्भ कॉलम में प्रविष्टियाँ किससे मेल खाती हैं?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है। ये उपसर्ग इस प्रकार मैप करते हैं:

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
QC- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

संशोधन

  • 03 अप्रैल, 2017: बुलेटिन प्रकाशित.
  • 05 अप्रैल, 2017: एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया।
  • 21 अप्रैल, 2017: सीवीई-2016-10231 और सीवीई-2017-0586 के लिए एट्रिब्यूशन को सही किया गया।
  • 27 अप्रैल, 2017: CVE-2017-0540 को बुलेटिन से हटा दिया गया।
  • 17 अगस्त, 2017: संदर्भ संख्याओं को अद्यतन करने के लिए बुलेटिन को संशोधित किया गया।