पब्लिश करने की तारीख: 5 जून, 2017 | अपडेट करने की तारीख: 17 अगस्त, 2017
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05 जून, 2017 या उसके बाद के सिक्योरिटी पैच लेवल में, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.
पार्टनर को कम से कम एक महीने पहले, सूचना में बताई गई समस्याओं के बारे में सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए जाएंगे. साथ ही, इन्हें इस सूचना से लिंक किया जाएगा. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, Media Framework में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी को खराब कर सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस बात को ध्यान में रखकर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए कमज़ोरी को कम करने वाले उपाय बंद किए गए हैं या नहीं. इसके अलावा, यह भी ध्यान में रखा जाता है कि कमज़ोरी को बायपास किया गया है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाएं सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
ध्यान दें: Google डिवाइसों के लिए, ओवर-द-एयर (ओटीए) अपडेट और फ़र्मवेयर इमेज की नई जानकारी, Google डिवाइस के अपडेट सेक्शन में उपलब्ध है.
सूचनाएं
- हमने सुरक्षा से जुड़े हर महीने के बुलेटिन को आसान बनाने के लिए, उसमें बदलाव किए हैं. इस अपडेट के तहत, जोखिम की जानकारी को, इससे प्रभावित कॉम्पोनेंट के हिसाब से बांटा गया है. साथ ही, सुरक्षा पैच लेवल के हिसाब से कॉम्पोनेंट के नाम के क्रम में लगाया गया है. इसके अलावा, Google डिवाइस से जुड़ी जानकारी को खास सेक्शन में होस्ट किया गया है.
- इस सूचना में, सिक्योरिटी पैच लेवल की दो स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और उनके जवाब देखें:
- 01-06-2017: सुरक्षा पैच के लेवल की कुछ जानकारी देने वाली स्ट्रिंग. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-06-2017 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-06-2017: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. इस सिक्योरिटी पैच लेवल की स्ट्रिंग से पता चलता है कि 01-06-2017 और 05-06-2017 (और सिक्योरिटी पैच लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाएं
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवाओं से जुड़ी सुरक्षा सुविधाओं के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google Mobile Services वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.
01-06-2017 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-06-2017 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. इसमें समस्या के बारे में जानकारी दी गई है. साथ ही, एक टेबल में CVE, उससे जुड़े रेफ़रंस, सुरक्षा से जुड़े जोखिम का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) की जानकारी दी गई है. जब उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
ब्लूटूथ
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0645 | A-35385327 | EoP | काफ़ी हद तक ठीक है | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0646 | A-33899337 | आईडी | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
लाइब्रेरी
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2015-8871 | A-35443562* | आरसीई | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-8332 | A-37761553* | आरसीई | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-5131 | A-36554209 | आरसीई | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-4658 | A-36554207 | आरसीई | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0663 | A-37104170 | आरसीई | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7376 | A-36555370 | आरसीई | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-5056 | A-36809819 | आरसीई | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7375 | A-36556310 | आरसीई | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0647 | A-36392138 | आईडी | काफ़ी हद तक ठीक है | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-1839 | A-36553781 | डीओएस | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान मेमोरी को खराब कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0637 | A-34064500 | आरसीई | सबसे अहम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0391 | A-32322258 | डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0640 | A-33129467* | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0641 | A-34360591 | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0642 | A-34819017 | डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0643 | A-35645051* | डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0644 | A-35472997* | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 |
सिस्टम यूज़र इंटरफ़ेस (यूआई)
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, हमलावर किसी खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में आर्बिट्ररी कोड को लागू कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0638 | A-36368305 | आरसीई | ज़्यादा | 7.1.1, 7.1.2 |
05-06-2017 सुरक्षा पैच का लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-06-2017 के पैच लेवल पर लागू होती हैं. जोखिम की संभावनाओं को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनका असर पड़ता है. इनमें CVE, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, कॉम्पोनेंट (जहां लागू हो), और अपडेट किए गए AOSP वर्शन (जहां लागू हो) जैसी जानकारी शामिल होती है. अगर उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP के बदलाव की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद दिए गए नंबर से जुड़े होते हैं.
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कोर के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0648 | A-36101220* | EoP | ज़्यादा | FIQ डीबगर |
| CVE-2017-0651 | A-35644815* | आईडी | कम | ION सबसिस्टम |
लाइब्रेरी
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमलावर किसी खास तरह की फ़ाइल का इस्तेमाल करके, संवेदनशील जानकारी का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2015-7995 | A-36810065* | आईडी | काफ़ी हद तक ठीक है | 4.4.4 |
MediaTek के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कोर के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0636 | A-35310230* M-ALPS03162263 |
EoP | ज़्यादा | कमांड कतार ड्राइवर |
| CVE-2017-0649 | A-34468195* M-ALPS03162283 |
EoP | काफ़ी हद तक ठीक है | साउंड ड्राइवर |
NVIDIA के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कोर के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-6247 | A-34386301* N-CVE-2017-6247 |
EoP | ज़्यादा | साउंड ड्राइवर |
| CVE-2017-6248 | A-34372667* N-CVE-2017-6248 |
EoP | काफ़ी हद तक ठीक है | साउंड ड्राइवर |
| CVE-2017-6249 | A-34373711* N-CVE-2017-6249 |
EoP | काफ़ी हद तक ठीक है | साउंड ड्राइवर |
Qualcomm के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, कोई भी व्यक्ति या ग्रुप, कर्नेल के संदर्भ में अपनी पसंद का कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-7371 | A-36250786 QC-CR#1101054 |
आरसीई | सबसे अहम | ब्लूटूथ ड्राइवर |
| CVE-2017-7365 | A-32449913 QC-CR#1017009 |
EoP | ज़्यादा | बूटलोडर |
| CVE-2017-7366 | A-36252171 QC-CR#1036161 [2] |
EoP | ज़्यादा | जीपीयू ड्राइवर |
| CVE-2017-7367 | A-34514708 QC-CR#1008421 |
डीओएस | ज़्यादा | बूटलोडर |
| CVE-2016-5861 | A-36251375 QC-CR#1103510 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2016-5864 | A-36251231 QC-CR#1105441 |
EoP | काफ़ी हद तक ठीक है | साउंड ड्राइवर |
| CVE-2017-6421 | A-36251986 QC-CR#1110563 |
EoP | काफ़ी हद तक ठीक है | MStar टचस्क्रीन ड्राइवर |
| CVE-2017-7364 | A-36252179 QC-CR#1113926 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-7368 | A-33452365 QC-CR#1103085 |
EoP | काफ़ी हद तक ठीक है | साउंड ड्राइवर |
| CVE-2017-7369 | A-33751424 QC-CR#2009216 [2] |
EoP | काफ़ी हद तक ठीक है | साउंड ड्राइवर |
| CVE-2017-7370 | A-34328139 QC-CR#2006159 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-7372 | A-36251497 QC-CR#1110068 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-7373 | A-36251984 QC-CR#1090244 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-8233 | A-34621613 QC-CR#2004036 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8234 | A-36252121 QC-CR#832920 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8235 | A-36252376 QC-CR#1083323 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8236 | A-35047217 QC-CR#2009606 |
EoP | काफ़ी हद तक ठीक है | IPA ड्राइवर |
| CVE-2017-8237 | A-36252377 QC-CR#1110522 |
EoP | काफ़ी हद तक ठीक है | नेटवर्किंग ड्राइवर |
| CVE-2017-8242 | A-34327981 QC-CR#2009231 |
EoP | काफ़ी हद तक ठीक है | सिक्योर एक्ज़ीक्यूशन एनवायरमेंट कम्यूनिकेटर ड्राइवर |
| CVE-2017-8239 | A-36251230 QC-CR#1091603 |
आईडी | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8240 | A-36251985 QC-CR#856379 |
आईडी | काफ़ी हद तक ठीक है | पिन कंट्रोलर ड्राइवर |
| CVE-2017-8241 | A-34203184 QC-CR#1069175 |
आईडी | कम | वाई-फ़ाई ड्राइवर |
Synaptics कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0650 | A-35472278* | EoP | कम | टचस्क्रीन ड्राइवर |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इन कमजोरियों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, 2014 से 2016 के Qualcomm AMSS के सुरक्षा बुलेटिन में दी गई है. इन्हें इस Android सुरक्षा बुलेटिन में शामिल किया गया है, ताकि इन सुधारों को Android सुरक्षा पैच लेवल से जोड़ा जा सके. इन कमजोरियों को ठीक करने के लिए, सीधे तौर पर Qualcomm से मदद ली जा सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2014-9960 | A-37280308* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9961 | A-37279724* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9953 | A-36714770* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9967 | A-37281466* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9026 | A-37277231* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9027 | A-37279124* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9008 | A-36384689* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9009 | A-36393600* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9010 | A-36393101* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9011 | A-36714882* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9024 | A-37265657* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9012 | A-36384691* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9013 | A-36393251* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9014 | A-36393750* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9015 | A-36714120* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9029 | A-37276981* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10338 | A-37277738* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10336 | A-37278436* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10333 | A-37280574* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10341 | A-37281667* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10335 | A-37282802* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10340 | A-37280614* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10334 | A-37280664* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10339 | A-37280575* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10298 | A-36393252* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10299 | A-32577244* | लागू नहीं | सबसे अहम | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9954 | A-36388559* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9955 | A-36384686* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9956 | A-36389611* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9957 | A-36387564* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9958 | A-36384774* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9962 | A-37275888* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9963 | A-37276741* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9959 | A-36383694* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9964 | A-37280321* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9965 | A-37278233* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9966 | A-37282854* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9023 | A-37276138* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9020 | A-37276742* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9021 | A-37276743* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9025 | A-37276744* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9022 | A-37280226* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9028 | A-37277982* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9031 | A-37275889* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9032 | A-37279125* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9033 | A-37276139* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9030 | A-37282907* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10332 | A-37282801* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10337 | A-37280665* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10342 | A-37281763* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
Google डिवाइस के अपडेट
इस टेबल में, Google डिवाइसों के लिए, ओवर-द-एयर अपडेट (ओटीए) और फ़र्मवेयर इमेज में मौजूद सुरक्षा पैच लेवल की जानकारी दी गई है. Google डिवाइस के फ़र्मवेयर की इमेज, Google Developer साइट पर उपलब्ध हैं.
| Google डिवाइस | सुरक्षा पैच का लेवल |
|---|---|
| Pixel / Pixel XL | 05 जून, 2017 |
| Nexus 5X | 05 जून, 2017 |
| Nexus 6 | 05 जून, 2017 |
| Nexus 6P | 05 जून, 2017 |
| Nexus 9 | 05 जून, 2017 |
| Nexus Player | 05 जून, 2017 |
| Pixel C | 05 जून, 2017 |
Google डिवाइस के अपडेट में, सुरक्षा से जुड़ी इन कमज़ोरियों के लिए पैच भी शामिल होते हैं. हालांकि, ऐसा तब ही होता है, जब ये कमज़ोरियां आपके डिवाइस पर लागू हों:
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0639 | A-35310991 | आईडी | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
| सीवीई | रिसर्चर |
|---|---|
| CVE-2017-0643, CVE-2017-0641 | Trend Micro के एकुलर शु(徐健) |
| CVE-2017-0645, CVE-2017-0639 | MS509Team के सदस्य, ऐन हे (@heeeeen4x) और बो लू |
| CVE-2017-0649 | Gengjia Chen (@chengjia4574) और Qihoo 360 Technology Co. Ltd. के IceSword Lab के pjf. |
| CVE-2017-0646 | Tencent PC Manager के Godzheng (郑文选 -@VirtualSeekers) |
| CVE-2017-0636 | Shellphish Grill टीम के जेक कोरिना (@JakeCorina) |
| CVE-2017-8233 | Qihoo 360 के IceSword Lab के @jianqiangzhao और pjf |
| CVE-2017-7368 | C0RE टीम के लूबो ज़ैंग (zlbzlb815@163.com),युआन-त्सुंग लो (computernik@gmail.com), और शुक्सियन जियांग |
| CVE-2017-8242 | Tesla की प्रॉडक्ट सुरक्षा टीम के नेथन क्रैंडल (@natecray) |
| CVE-2017-0650 | बेन गायूर यूनिवर्सिटी के साइबर लैब के ओमर श्वार्टज़, आमिर कोहेन, डॉ. असफ़ शबताई, और डॉ. योसी ओरेन |
| CVE-2017-0648 | एचसीएल टेक्नोलॉजीज़ के Aleph Research के रोई हे (@roeehay) |
| CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 | TrendMicro के sevenshen (@lingtongshen) |
| CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 | वसीली वासिलिएव |
| CVE-2017-0640 | Trend Micro की मोबाइल खतरे से जुड़ी प्रतिक्रिया टीम के वी.ई.ओ (@VYSEa) |
| CVE-2017-8236 | Tencent Security Platform Department की शिलिंग गोंग |
| CVE-2017-0647 | Yangkang (@dnpushme) और Qihoo 360 की Qex टीम के Liyadong |
| CVE-2017-7370 | Qihoo 360 Technology Co. Ltd के IceSword Lab के @guoygang |
| CVE-2017-0651 | C0RE टीम के युआन-त्सुंग लो (computernik@gmail.com) और शुक्सियन जियांग |
| CVE-2017-8241 | Google के ज़ुबिन मित्रा |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.
- 01-06-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 01-06-2017 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-06-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 05-06-2017 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-06-01]
- [ro.build.version.security_patch]:[2017-06-05]
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01 जून, 2017 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए.
- जिन डिवाइसों पर 05 जून, 2017 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उन पर, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के लिए, रेफ़रंस कॉलम में Android बग आईडी के बगल में * दिखता है. आम तौर पर, उस समस्या का अपडेट, Nexus डिवाइसों के लिए नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 5 जून, 2017 | बुलेटिन पब्लिश हो गया. |
| 1.1 | 7 जून, 2017 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया है. |
| 1.2 | 11 जुलाई, 2017 | CVE-2017-6249 को शामिल करने के लिए, बुलेटिन में बदलाव किया गया है. |
| 1.3 | 17 अगस्त, 2017 | रेफ़रंस नंबर अपडेट करने के लिए, बुलेटिन में बदलाव किया गया है. |