Android सुरक्षा बुलेटिन—जून 2017

संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

5 जून, 2017 को प्रकाशित | 17 अगस्त, 2017 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। 05 जून, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

भागीदारों को कम से कम एक महीने पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपोजिटरी में जारी किए जाएंगे और इस बुलेटिन से जुड़े होंगे। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर मीडिया फ्रेमवर्क में एक महत्वपूर्ण सुरक्षा भेद्यता है जो मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या सफलतापूर्वक बायपास कर दिया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए Android और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर इमेज की जानकारी Google डिवाइस अपडेट सेक्शन में उपलब्ध है।

घोषणाओं

  • हमने मासिक सुरक्षा बुलेटिन को पढ़ने में आसान बनाने के लिए सुव्यवस्थित किया है। इस अद्यतन के भाग के रूप में, भेद्यता जानकारी को प्रभावित घटक द्वारा वर्गीकृत किया जाता है, एक सुरक्षा पैच स्तर के भीतर घटक नाम के अनुसार क्रमबद्ध किया जाता है, और Google डिवाइस-विशिष्ट जानकारी को एक समर्पित अनुभाग में होस्ट किया जाता है।
  • इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं जो सभी Android उपकरणों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-06-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-06-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-06-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-06-01 और 2017-06-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।

Android और Google Play सुरक्षा शमन

यह Android सुरक्षा प्लेटफ़ॉर्म और Google Play Protect जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play Protect के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play Protect Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम होता है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2017-06-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-06-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो वे प्रभावित करते हैं। समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता के प्रकार , गंभीरता , और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

ब्लूटूथ

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण ऐप को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0645 ए-35385327 ईओपी संतुलित 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0646 ए-33899337 पहचान संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

पुस्तकालयों

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है जो एक अप्रतिबंधित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करता है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2015-8871 ए-35443562 * आरसीई उच्च 5.0.2, 5.1.1, 6.0, 6.0.1
सीवीई-2016-8332 ए-37761553 * आरसीई उच्च 5.0.2, 5.1.1, 6.0, 6.0.1
सीवीई-2016-5131 ए-36554209 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2016-4658 ए-36554207 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0663 ए-37104170 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-7376 ए-36555370 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-5056 ए-36809819 आरसीई संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-7375 ए-36556310 आरसीई संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0647 ए-36392138 पहचान संतुलित 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2016-1839 ए-36553781 करने योग्य संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

मीडिया ढांचा

इस खंड में सबसे गंभीर भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0637 ए-34064500 आरसीई नाजुक 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0391 ए-32322258 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0640 ए-33129467 * करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1
सीवीई-2017-0641 ए-34360591 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0642 ए-34819017 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0643 ए-35645051 * करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1
सीवीई-2017-0644 ए-35472997 * करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1

सिस्टम यूआई

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने वाले एक हमलावर को एक गैर-विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0638 ए-36368305 आरसीई उच्च 7.1.1, 7.1.2

2017-06-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-06-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत समूहीकृत किया जाता है जो वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता के प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

कर्नेल घटक

इस खंड में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण ऐप को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-0648 ए-36101220 * ईओपी उच्च FIQ डीबगर
सीवीई-2017-0651 ए-35644815 * पहचान कम आयन सबसिस्टम

पुस्तकालयों

इस खंड में सबसे गंभीर भेद्यता संवेदनशील जानकारी तक पहुंच प्राप्त करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2015-7995 ए-36810065 * पहचान संतुलित 4.4.4

मीडियाटेक घटक

इस खंड में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण ऐप को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-0636 ए-35310230 *
एम-एएलपीएस03162263
ईओपी उच्च कमांड कतार चालक
सीवीई-2017-0649 ए-34468195 *
एम-एएलपीएस03162283
ईओपी संतुलित ध्वनि चालक

एनवीआईडीआईए घटक

इस खंड में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण ऐप को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-6247 ए-34386301 *
एन-सीवीई-2017-6247
ईओपी उच्च ध्वनि चालक
सीवीई-2017-6248 ए-34372667 *
एन-सीवीई-2017-6248
ईओपी संतुलित ध्वनि चालक
सीवीई-2017-6249 ए-34373711 *
एन-सीवीई-2017-6249
ईओपी संतुलित ध्वनि चालक

क्वालकॉम घटक

इस खंड में सबसे गंभीर भेद्यता निकटतम हमलावर को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-7371 ए-36250786
क्यूसी-सीआर#1101054
आरसीई नाजुक ब्लूटूथ ड्राइवर
सीवीई-2017-7365 ए-32449913
क्यूसी-सीआर#1017009
ईओपी उच्च बूटलोडर
सीवीई-2017-7366 ए-36252171
क्यूसी-सीआर#1036161 [ 2 ]
ईओपी उच्च GPU ड्राइवर
सीवीई-2017-7367 ए-34514708
क्यूसी-सीआर#1008421
करने योग्य उच्च बूटलोडर
सीवीई-2016-5861 ए-36251375
क्यूसी-सीआर#1103510
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2016-5864 ए-36251231
क्यूसी-सीआर#1105441
ईओपी संतुलित ध्वनि चालक
सीवीई-2017-6421 ए-36251986
क्यूसी-सीआर#1110563
ईओपी संतुलित MStar टचस्क्रीन ड्राइवर
सीवीई-2017-7364 ए-36252179
क्यूसी-सीआर#1113926
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-7368 ए-33452365
क्यूसी-सीआर#1103085
ईओपी संतुलित ध्वनि चालक
सीवीई-2017-7369 ए-33751424
क्यूसी-सीआर#2009216 [ 2 ]
ईओपी संतुलित ध्वनि चालक
सीवीई-2017-7370 ए-34328139
क्यूसी-सीआर#2006159
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-7372 ए-36251497
क्यूसी-सीआर#1110068
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-7373 ए-36251984
क्यूसी-सीआर#1090244
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-8233 ए-34621613
क्यूसी-सीआर#2004036
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-8234 ए-36252121
क्यूसी-सीआर#832920
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-8235 ए-36252376
क्यूसी-सीआर#1083323
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-8236 ए-35047217
क्यूसी-सीआर#2009606
ईओपी संतुलित आईपीए चालक
सीवीई-2017-8237 ए-36252377
क्यूसी-सीआर#1110522
ईओपी संतुलित नेटवर्किंग ड्राइवर
सीवीई-2017-8242 ए-34327981
क्यूसी-सीआर#2009231
ईओपी संतुलित सुरक्षित निष्पादन पर्यावरण कम्युनिकेटर ड्राइवर
सीवीई-2017-8239 ए-36251230
क्यूसी-सीआर#1091603
पहचान संतुलित कैमरा ड्राइवर
सीवीई-2017-8240 ए-36251985
क्यूसी-सीआर#856379
पहचान संतुलित पिन नियंत्रक चालक
सीवीई-2017-8241 ए-34203184
क्यूसी-सीआर#1069175
पहचान कम वाई-फाई ड्राइवर

सिनैप्टिक्स घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण ऐप को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-0650 ए-35472278 * ईओपी कम टचस्क्रीन ड्राइवर

क्वालकॉम बंद-स्रोत घटक

ये भेद्यताएं क्वालकॉम घटकों को प्रभावित करती हैं और 2014-2016 से क्वालकॉम एएमएसएस सुरक्षा बुलेटिन में और विस्तार से वर्णित हैं। वे अपने सुधारों को Android सुरक्षा पैच स्तर के साथ जोड़ने के लिए इस Android सुरक्षा बुलेटिन में शामिल हैं। इन कमजोरियों के लिए सुधार सीधे क्वालकॉम से उपलब्ध हैं।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2014-9960 ए-37280308 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2014-9961 ए-37279724 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2014-9953 ए-36714770 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2014-9967 ए-37281466 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9026 ए-37277231 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9027 ए-37279124 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9008 ए-36384689 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9009 ए-36393600 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9010 ए-36393101 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9011 ए-36714882 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9024 ए-37265657 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9012 ए-36384691 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9013 ए-36393251 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9014 ए-36393750 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9015 ए-36714120 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2015-9029 ए-37276981 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10338 ए-37277738 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10336 ए-37278436 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10333 ए-37280574 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10341 ए-37281667 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10335 ए-37282802 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10340 ए-37280614 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10334 ए-37280664 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10339 ए-37280575 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10298 ए-36393252 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2016-10299 ए-32577244 * एन/ए नाजुक बंद स्रोत घटक
सीवीई-2014-9954 ए-36388559 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9955 ए-36384686 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9956 ए-36389611 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9957 ए-36387564 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9958 ए-36384774 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9962 ए-37275888 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9963 ए-37276741 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9959 ए-36383694 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9964 ए-37280321 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9965 ए-37278233 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9966 ए-37282854 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9023 ए-37276138 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9020 ए-37276742 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9021 ए-37276743 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9025 ए-37276744 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9022 ए-37280226 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9028 ए-37277982 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9031 ए-37275889 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9032 ए-37279125 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9033 ए-37276139 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9030 ए-37282907 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10332 ए-37282801 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10337 ए-37280665 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10342 ए-37281763 * एन/ए उच्च बंद स्रोत घटक

Google डिवाइस अपडेट

इस तालिका में नवीनतम ओवर-द-एयर अपडेट (OTA) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस फ़र्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।

गूगल डिवाइस सुरक्षा पैच स्तर
पिक्सेल / पिक्सेल XL जून 05, 2017
नेक्सस 5X जून 05, 2017
नेक्सस 6 जून 05, 2017
नेक्सस 6पी जून 05, 2017
नेक्सस 9 जून 05, 2017
नेक्सस प्लेयर जून 05, 2017
पिक्सेल सी जून 05, 2017

Google डिवाइस अपडेट में इन सुरक्षा कमजोरियों के लिए पैच भी होते हैं, यदि लागू हो:

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0639 ए-35319991 पहचान उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

सीवीई शोधकर्ताओं
सीवीई-2017-0643, सीवीई-2017-0641 ट्रेंड माइक्रो . का Ecular Xu(徐健)
सीवीई-2017-0645, सीवीई-2017-0639 En He ( @ heeeeen4x ) और MS509Team के बो लियू
सीवीई-2017-0649 गेंगजिया चेन ( @chengjia4574 ) और IceSword Lab, Qihoo 360 Technology Co. Ltd.
सीवीई-2017-0646 Tencent पीसी प्रबंधक के गॉडझेंग (郑文选 - @VirtualSeekers )
सीवीई-2017-0636 शेलफिश ग्रिल टीम के जेक कोरिना ( @JakeCorina )
सीवीई-2017-8233 जियानकियांग झाओ ( @jianqiangzhao ) और IceSword लैब के pjf, Qihoo 360
सीवीई-2017-7368 लुबो झांग ( zlbzlb815@163.com ), युआन-त्सुंग लो ( computernik@gmail.com ), और C0RE टीम के जुक्सियन जियांग
सीवीई-2017-8242 टेस्ला की उत्पाद सुरक्षा टीम के नाथन क्रैंडल ( @natecray )
सीवीई-2017-0650 ओमर श्वार्ट्ज, आमिर कोहेन, डॉ. आसफ शबताई, और बेन गुरियन यूनिवर्सिटी साइबर लैब के डॉ. योसी ओरेन
सीवीई-2017-0648 एलेफ रिसर्च , एचसीएल टेक्नोलॉजीज के रोई हे ( @roeehay )
सीवीई-2017-7369, सीवीई-2017-6249, सीवीई-2017-6247, सीवीई-2017-6248 TrendMicro . के सेवनशेन ( @lingtongshen )
सीवीई-2017-0642, सीवीई-2017-0637, सीवीई-2017-0638 वसीली वासिलीव
सीवीई-2017-0640 मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो के वीईओ ( @VYSEa )
सीवीई-2017-8236 Tencent सुरक्षा प्लेटफ़ॉर्म विभाग का ज़िलिंग गोंग
सीवीई-2017-0647 यांगकांग ( @dnpushme ) और Qex टीम के लियाडोंग, Qihoo 360
सीवीई-2017-7370 IceSword लैब, Qihoo 360 Technology Co. Ltd के योंगगैंग गुओ ( @guoygang )
सीवीई-2017-0651 युआन-त्सुंग लो ( computernik@gmail.com ) और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-8241 गूगल के जुबिन मिथरा

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देशों को पढ़ें।

  • 2017-06-01 या बाद के सुरक्षा पैच स्तर 2017-06-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2017-06-05 या बाद के सुरक्षा पैच स्तर 2017-06-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2017-06-01]
  • [ro.build.version.security_patch]:[2017-06-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जून 01, 2017 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
  • जो डिवाइस 05 जून, 2017 या उसके बाद के सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. सन्दर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में Android बग आईडी के आगे * का क्या अर्थ है?

जो समस्याएं सार्वजनिक रूप से उपलब्ध नहीं हैं उनमें संदर्भ कॉलम में Android बग आईडी के आगे एक * होता है। उस समस्या के लिए अद्यतन आम तौर पर Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।

संस्करणों

संस्करण दिनांक टिप्पणियाँ
1.0 जून 5, 2017 बुलेटिन प्रकाशित हो चुकी है।.
1.1 जून 7, 2017 AOSP लिंक्स को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
1.2 11 जुलाई 2017 CVE-2017-6249 को शामिल करने के लिए संशोधित बुलेटिन।
1.3 अगस्त 17, 2017 संदर्भ संख्या अद्यतन करने के लिए बुलेटिन में संशोधन किया गया।