Android सुरक्षा बुलेटिन—जुलाई 2017

5 जुलाई, 2017 को प्रकाशित | 26 सितंबर, 2017 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। 05 जुलाई, 2017 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

भागीदारों को कम से कम एक महीने पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपोजिटरी में जारी किए गए हैं और इस बुलेटिन से जुड़े हुए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या सफलतापूर्वक बायपास कर दिया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए Android और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर इमेज की जानकारी Google डिवाइस अपडेट सेक्शन में उपलब्ध है।

घोषणाओं

  • इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं जो सभी Android उपकरणों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-07-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-07-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-07-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-07-01 और 2017-07-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।

Android और Google Play सुरक्षा शमन

यह Android सुरक्षा प्लेटफ़ॉर्म और Google Play Protect जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play Protect के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play Protect Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम होता है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2017-07-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-07-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो वे प्रभावित करते हैं। समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता के प्रकार , गंभीरता , और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

क्रम

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को एक गैर-विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-3544 ए-35784677 आरसीई संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

रूपरेखा

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0664 ए-36491278 ईओपी उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0665 ए-36991414 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0666 ए-37285689 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0667 ए-37478824 ईओपी उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0668 ए-2201579 पहचान संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0669 ए-34114752 पहचान उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0670 ए-36104177 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

पुस्तकालयों

इस खंड में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके लाइब्रेरी का उपयोग करने वाले एप्लिकेशन के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0671 ए-34514762 * आरसीई उच्च 4.4.4
सीवीई-2016-2109 ए-35443725 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0672 ए-34778578 करने योग्य उच्च 7.0, 7.1.1, 7.1.2

मीडिया ढांचा

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0540 ए-33966031 आरसीई नाजुक 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0673 ए-33974623 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0674 ए-34231163 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0675 ए-34779227 [ 2 ] आरसीई नाजुक 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0676 ए-34896431 आरसीई नाजुक 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0677 ए-36035074 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0678 ए-36576151 आरसीई नाजुक 7.0, 7.1.1, 7.1.2
सीवीई-2017-0679 ए-36996978 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0680 ए-37008096 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0681 ए-37208566 आरसीई नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0682 ए-36588422 * आरसीई उच्च 7.0, 7.1.1, 7.1.2
सीवीई-2017-0683 ए-36591008 * आरसीई उच्च 7.0, 7.1.1, 7.1.2
सीवीई-2017-0684 ए-35421151 ईओपी उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0685 ए-34203195 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0686 ए-34231231 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0688 ए-35584425 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0689 ए-36215950 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0690 ए-36592202 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0691 ए-36724453 करने योग्य उच्च 7.0, 7.1.1, 7.1.2
सीवीई-2017-0692 ए-36725407 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0693 ए-36993291 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0694 ए-37093318 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0695 ए-37094889 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0696 ए-37207120 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0697 ए-37239013 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0698 ए-35467458 पहचान संतुलित 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0699 ए-36490809 पहचान संतुलित 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

सिस्टम यूआई

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0700 ए-35639138 आरसीई उच्च 7.1.1, 7.1.2
सीवीई-2017-0701 ए-36385715 [ 2 ] आरसीई उच्च 7.1.1, 7.1.2
सीवीई-2017-0702 ए-36621442 आरसीई उच्च 7.1.1, 7.1.2
सीवीई-2017-0703 ए-33123882 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0704 ए-33059280 ईओपी संतुलित 7.1.1, 7.1.2

2017-07-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-07-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत समूहीकृत किया जाता है जो वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता के प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

ब्रॉडकॉम घटक

इस खंड में सबसे गंभीर भेद्यता निकटतम हमलावर को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-9417 ए-38041027 *
बी-आरबी#123023
आरसीई नाजुक वाई-फाई ड्राइवर
सीवीई-2017-0705 ए-34973477 *
बी-आरबी#119898
ईओपी संतुलित वाई-फाई ड्राइवर
सीवीई-2017-0706 ए-35195787 *
बी-आरबी#120532
ईओपी संतुलित वाई-फाई ड्राइवर

एचटीसी घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-0707 ए-36088467 * ईओपी संतुलित एलईडी ड्राइवर
सीवीई-2017-0708 ए-35384879 * पहचान संतुलित ध्वनि चालक
सीवीई-2017-0709 ए-35468048 * पहचान कम सेंसर हब ड्राइवर

कर्नेल घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-6074 ए-35784697
अपस्ट्रीम कर्नेल
ईओपी उच्च नेटवर्किंग सबसिस्टम
सीवीई-2017-5970 ए-35805460
अपस्ट्रीम कर्नेल
करने योग्य उच्च नेटवर्किंग सबसिस्टम
सीवीई-2015-5707 ए-35841297
अपस्ट्रीम कर्नेल [ 2 ]
ईओपी संतुलित एससीएसआई चालक
सीवीई-2017-7308 ए-36725304
अपस्ट्रीम कर्नेल [ 2 ] [ 3 ]
ईओपी संतुलित नेटवर्किंग ड्राइवर
सीवीई-2014-9731 ए-35841292
अपस्ट्रीम कर्नेल
पहचान संतुलित फाइल सिस्टम

मीडियाटेक घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-0711 ए-36099953 *
एम-ALPS03206781
ईओपी उच्च नेटवर्किंग ड्राइवर

एनवीआईडीआईए घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-0340 ए-33968204 *
एन-सीवीई-2017-0340
ईओपी उच्च Libnvparser
सीवीई-2017-0326 ए-33718700 *
एन-सीवीई-2017-0326
पहचान संतुलित वीडियो ड्राइवर

क्वालकॉम घटक

इस खंड में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-8255 ए-36251983
क्यूसी-सीआर#985205
ईओपी उच्च बूटलोडर
सीवीई-2016-10389 ए-34500449
क्यूसी-सीआर#1009145
ईओपी उच्च बूटलोडर
सीवीई-2017-8253 ए-35400552
क्यूसी-सीआर#1086764
ईओपी उच्च कैमरा ड्राइवर
सीवीई-2017-8262 ए-32938443
क्यूसी-सीआर#2029113
ईओपी उच्च GPU ड्राइवर
सीवीई-2017-8263 ए-34126808 *
क्यूसी-सीआर#1107034
ईओपी उच्च बेनामी साझा मेमोरी सबसिस्टम
सीवीई-2017-8267 ए-34173755 *
क्यूसी-सीआर#2001129
ईओपी उच्च बेनामी साझा मेमोरी सबसिस्टम
सीवीई-2017-8273 ए-35400056
क्यूसी-सीआर#1094372 [ 2 ]
ईओपी उच्च बूटलोडर
सीवीई-2016-5863 ए-36251182
क्यूसी-सीआर#1102936
ईओपी संतुलित यूएसबी छिपाई चालक
सीवीई-2017-8243 ए-34112490 *
क्यूसी-सीआर#2001803
ईओपी संतुलित एसओसी चालक
सीवीई-2017-8246 ए-37275839
क्यूसी-सीआर#2008031
ईओपी संतुलित ध्वनि चालक
सीवीई-2017-8256 ए-37286701
क्यूसी-सीआर#1104565
ईओपी संतुलित वाई-फाई ड्राइवर
सीवीई-2017-8257 ए-37282763
क्यूसी-सीआर#2003129
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-8259 ए-34359487
क्यूसी-सीआर#2009016
ईओपी संतुलित एसओसी चालक
सीवीई-2017-8260 ए-34624155
क्यूसी-सीआर#2008469
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-8261 ए-35139833 *
क्यूसी-सीआर#2013631
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-8264 ए-33299365 *
क्यूसी-सीआर#1107702
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-8265 ए-32341313
क्यूसी-सीआर#1109755
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-8266 ए-33863407
क्यूसी-सीआर#1110924
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-8268 ए-34620535 *
क्यूसी-सीआर#2002207
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-8270 ए-35468665 *
क्यूसी-सीआर#2021363
ईओपी संतुलित वाई-फाई ड्राइवर
सीवीई-2017-8271 ए-35950388 *
क्यूसी-सीआर#2028681
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-8272 ए-35950805 *
क्यूसी-सीआर#2028702
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-8254 ए-36252027
क्यूसी-सीआर#832914
पहचान संतुलित ध्वनि चालक
सीवीई-2017-8258 ए-37279737
क्यूसी-सीआर#2005647
पहचान संतुलित कैमरा ड्राइवर
सीवीई-2017-8269 ए-33967002 *
क्यूसी-सीआर#2013145
पहचान संतुलित आईपीए चालक

क्वालकॉम बंद-स्रोत घटक

ये भेद्यताएं क्वालकॉम घटकों को प्रभावित करती हैं और 2014-2016 में क्वालकॉम एएमएसएस सुरक्षा बुलेटिन में और विस्तार से वर्णित हैं। Android सुरक्षा पैच स्तर के साथ अपने सुधारों को जोड़ने के लिए उन्हें इस Android सुरक्षा बुलेटिन में शामिल किया गया है। इन कमजोरियों के लिए सुधार सीधे क्वालकॉम से उपलब्ध हैं।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2014-9411 ए-37473054 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9968 ए-37304413 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9973 ए-37470982 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9974 ए-37471979 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9975 ए-37471230 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9977 ए-37471087 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9978 ए-37468982 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9979 ए-37471088 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2014-9980 ए-37471029 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-0575 ए-37296999 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-8592 ए-37470090 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-8595 ए-37472411 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-8596 ए-37472806 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9034 ए-37305706 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9035 ए-37303626 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9036 ए-37303519 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9037 ए-37304366 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9038 ए-37303027 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9039 ए-37302628 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9040 ए-37303625 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9041 ए-37303518 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9042 ए-37301248 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9043 ए-37305954 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9044 ए-37303520 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9045 ए-37302136 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9046 ए-37301486 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9047 ए-37304367 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9048 ए-37305707 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9049 ए-37301488 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9050 ए-37302137 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9051 ए-37300737 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9052 ए-37304217 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9053 ए-37301249 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9054 ए-37303177 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9055 ए-37472412 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9060 ए-37472807 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9061 ए-37470436 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9062 ए-37472808 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9067 ए-37474000 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9068 ए-37470144 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9069 ए-37470777 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9070 ए-37474001 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9071 ए-37471819 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9072 ए-37474002 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2015-9073 ए-37473407 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10343 ए-32580186 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10344 ए-32583954 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10346 ए-37473408 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10347 ए-37471089 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10382 ए-28823584 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10383 ए-28822389 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10388 ए-32580294 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-10391 ए-32583804 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-5871 ए-37473055 * एन/ए उच्च बंद स्रोत घटक
सीवीई-2016-5872 ए-37472809 * एन/ए उच्च बंद स्रोत घटक

Google डिवाइस अपडेट

इस तालिका में नवीनतम ओवर-द-एयर अपडेट (OTA) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस फ़र्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।

गूगल डिवाइस सुरक्षा पैच स्तर
पिक्सेल / पिक्सेल XL जुलाई 05, 2017
नेक्सस 5X जुलाई 05, 2017
नेक्सस 6 जुलाई 05, 2017
नेक्सस 6पी जुलाई 05, 2017
नेक्सस 9 जुलाई 05, 2017
नेक्सस प्लेयर जुलाई 05, 2017
पिक्सेल सी जुलाई 05, 2017

Google डिवाइस अपडेट में इन सुरक्षा कमजोरियों के लिए पैच भी होते हैं, यदि लागू हो:

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-0710 ए-34951864 * ईओपी संतुलित टीसीबी

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

सीवीई शोधकर्ताओं
सीवीई-2017-8263 Google के बिली लाउ
सीवीई-2017-0711 अलीबाबा मोबाइल सुरक्षा समूह के चेंगमिंग यांग, बाओज़ेंग डिंग और यांग सॉन्ग
सीवीई-2017-0681 ची झांग , हैंक्सियांग वेन , मिंगजियान झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-0706 Xuanwu लैब, Tencent . के डैक्सिंग गुओ ( @ freener0 )
सीवीई-2017-8260 डेरेक ( @ derrekr6 ) और स्कॉट बाउर
सीवीई-2017-8265 कीनलैब के डि शेन ( @returnsme ) ( @keen_lab ), Tencent
सीवीई-2017-0703 ज़मित्री लुक्यानेंका
सीवीई-2017-0692, सीवीई-2017-0694 अल्फा टीम के एल्फेट और गोंग गुआंग, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड।
सीवीई-2017-8266, सीवीई-2017-8243, सीवीई-2017-8270 गेंगजिया चेन ( @chengjia4574 ) और IceSword Lab, Qihoo 360 Technology Co. Ltd.
सीवीई-2017-0665 ची झांग , हैंक्सियांग वेन , मिंगजियान झोउ ( @Mingjian_Zhou ), और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-8268, सीवीई-2017-8261 जियानकियांग झाओ ( @jianqiangzhao ) और IceSword लैब के pjf, Qihoo 360
सीवीई-2017-0698 सेंसस कंसल्टिंग इंक के जॉय ब्रांड।
सीवीई-2017-0666, सीवीई-2017-0684 मिंगजियान झोउ ( @Mingjian_Zhou ), ची झांग और C0RE टीम के जुक्सियन जियांग
सीवीई-2017-0697, सीवीई-2017-0670 निकी 1235 (@jiych_guru )
सीवीई-2017-9417 एक्सोडस इंटेलिजेंस के निताय अर्टेनस्टीन
सीवीई-2017-0705, सीवीई-2017-8259 स्कॉट बाउर
सीवीई-2017-0667 सीएसएस इंक के टिमोथी बेकर।
सीवीई-2017-0682, सीवीई-2017-0683, सीवीई-2017-0676, सीवीई-2017-0696, सीवीई-2017-0675, सीवीई-2017-0701, सीवीई-2017-0702, सीवीई-2017-0699 वसीली वासिलीव
सीवीई-2017-0695, सीवीई-2017-0689, सीवीई-2017-0540, सीवीई-2017-0680, सीवीई-2017-0679, सीवीई-2017-0685, सीवीई-2017-0686, सीवीई-2017-0693, सीवीई- 2017-0674, सीवीई-2017-0677 मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो के वीईओ ( @VYSEa )
सीवीई-2017-0708 Tencent सुरक्षा प्लेटफ़ॉर्म विभाग का ज़िलिंग गोंग
सीवीई-2017-0690 यांगकांग ( @dnpushme ) और Qihoo 360 Qex टीम के लियाडोंग
सीवीई-2017-8269, सीवीई-2017-8271, सीवीई-2017-8272, सीवीई-2017-8267 IceSword लैब के योंगगैंग गुओ ( @guoygang ), Qihoo 360 Technology Co. Ltd.
सीवीई-2017-8264, सीवीई-2017-0326, सीवीई-2017-0709 युआन-त्सुंग लो ( computernik@gmail.com ) और C0RE टीम के ज़ुक्सियन जियांग
सीवीई-2017-0704, सीवीई-2017-0669 Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के युक्सियांग ली ( @Xbalien29 )
सीवीई-2017-0710 Android सुरक्षा टीम के Zach Riggle ( @ebeip90 )
सीवीई-2017-0678 चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान
सीवीई-2017-0691, सीवीई-2017-0700 चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान और पंगु टीम के एओ वांग ( @ArayzSegment )

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देशों को पढ़ें।

  • 2017-07-01 या बाद के सुरक्षा पैच स्तर 2017-07-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2017-07-05 या बाद के सुरक्षा पैच स्तर 2017-07-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2017-07-01]
  • [ro.build.version.security_patch]:[2017-07-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • जुलाई 01, 2017 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से संबंधित सभी समस्याओं के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
  • 05 जुलाई, 2017 या इससे बाद के सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. सन्दर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में Android बग आईडी के आगे * का क्या अर्थ है?

जो समस्याएं सार्वजनिक रूप से उपलब्ध नहीं हैं उनमें संदर्भ कॉलम में Android बग आईडी के आगे एक * होता है। उस समस्या के लिए अद्यतन आम तौर पर Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।

संस्करणों

संस्करण दिनांक टिप्पणियाँ
1.0 जुलाई 5, 2017 बुलेटिन प्रकाशित हो चुकी है।.
1.1 जुलाई 6, 2017 AOSP लिंक्स को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
1.2 11 जुलाई 2017 पावती अद्यतन करने के लिए बुलेटिन संशोधित।
1.3 अगस्त 17, 2017 संदर्भ संख्या अद्यतन करने के लिए बुलेटिन में संशोधन किया गया।
1.4 19 सितंबर, 2017 सीवीई-2017-0710 के लिए अद्यतन पावती।
1.5 26 सितंबर, 2017 सीवीई-2017-0681 के लिए अद्यतन पावती।