पब्लिश करने की तारीख: 5 जुलाई, 2017 | अपडेट करने की तारीख: 26 सितंबर, 2017
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के 05 जुलाई, 2017 या उसके बाद के लेवल पर, इन सभी समस्याओं को ठीक किया गया है. किसी डिवाइस के सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.
पार्टनर को कम से कम एक महीने पहले, सूचना में बताई गई समस्याओं के बारे में सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, मीडिया फ़्रेमवर्क में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस बात को ध्यान में रखकर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए कमज़ोरी को कम करने वाले उपाय बंद किए गए हैं या नहीं. इसके अलावा, यह भी ध्यान में रखा जाता है कि कमज़ोरी को बायपास किया गया है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाओं वाले सेक्शन पर जाएं. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
ध्यान दें: Google डिवाइसों के लिए, ओवर-द-एयर (ओटीए) अपडेट और फ़र्मवेयर इमेज की नई जानकारी, Google डिवाइस के अपडेट सेक्शन में उपलब्ध है.
सूचनाएं
- इस सूचना में, सिक्योरिटी पैच लेवल की दो स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और उनके जवाब देखें:
- 2017-07-01: सुरक्षा पैच के लेवल की कुछ जानकारी देने वाली स्ट्रिंग. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-07-2017 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-07-2017: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. इस सिक्योरिटी पैच लेवल की स्ट्रिंग से पता चलता है कि 01-07-2017 और 05-07-2017 (और सिक्योरिटी पैच लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाएं
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google Mobile Services वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.
01-07-2017 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-07-2017 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. इसमें समस्या के बारे में जानकारी दी गई है. साथ ही, एक टेबल में CVE, उससे जुड़े रेफ़रंस, सुरक्षा से जुड़े जोखिम का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) की जानकारी दी गई है. जब उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
रनटाइम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-3544 | A-35784677 | आरसीई | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम से, किसी स्थानीय नुकसान पहुंचाने वाले ऐप्लिकेशन को खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन के संदर्भ में आर्बिट्ररी कोड को चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0664 | A-36491278 | EoP | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0665 | A-36991414 | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0666 | A-37285689 | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0667 | A-37478824 | EoP | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0668 | A-22011579 | आईडी | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0669 | A-34114752 | आईडी | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0670 | A-36104177 | डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
लाइब्रेरी
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, कोई रिमोट हमलावर, लाइब्रेरी का इस्तेमाल करने वाले ऐप्लिकेशन के संदर्भ में, मनमुताबिक कोड चलाने के लिए, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0671 | A-34514762* | आरसीई | ज़्यादा | 4.4.4 |
| CVE-2016-2109 | A-35443725 | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0672 | A-34778578 | डीओएस | ज़्यादा | 7.0, 7.1.1, 7.1.2 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0540 | A-33966031 | आरसीई | सबसे अहम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0673 | A-33974623 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0674 | A-34231163 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0675 | A-34779227 [2] | आरसीई | सबसे अहम | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0676 | A-34896431 | आरसीई | सबसे अहम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0677 | A-36035074 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0678 | A-36576151 | आरसीई | सबसे अहम | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0679 | A-36996978 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0680 | A-37008096 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0681 | A-37208566 | आरसीई | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0682 | A-36588422* | आरसीई | ज़्यादा | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0683 | A-36591008* | आरसीई | ज़्यादा | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0684 | A-35421151 | EoP | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0685 | A-34203195 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0686 | A-34231231 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0688 | A-35584425 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0689 | A-36215950 | डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0690 | A-36592202 | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0691 | A-36724453 | डीओएस | ज़्यादा | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0692 | A-36725407 | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0693 | A-36993291 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0694 | A-37093318 | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0695 | A-37094889 | डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0696 | A-37207120 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0697 | A-37239013 | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0698 | A-35467458 | आईडी | काफ़ी हद तक ठीक है | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0699 | A-36490809 | आईडी | काफ़ी हद तक ठीक है | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
सिस्टम यूज़र इंटरफ़ेस (यूआई)
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0700 | A-35639138 | आरसीई | ज़्यादा | 7.1.1, 7.1.2 |
| CVE-2017-0701 | A-36385715 [2] | आरसीई | ज़्यादा | 7.1.1, 7.1.2 |
| CVE-2017-0702 | A-36621442 | आरसीई | ज़्यादा | 7.1.1, 7.1.2 |
| CVE-2017-0703 | A-33123882 | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0704 | A-33059280 | EoP | काफ़ी हद तक ठीक है | 7.1.1, 7.1.2 |
05-07-2017 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-07-2017 के पैच लेवल पर लागू होती है. जोखिम की संभावनाओं को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनका असर पड़ता है. इनमें CVE, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, कॉम्पोनेंट (जहां लागू हो), और अपडेट किए गए AOSP वर्शन (जहां लागू हो) जैसी जानकारी शामिल होती है. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो बग आईडी के बाद के नंबर से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
Broadcom के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, कोई भी व्यक्ति या ग्रुप, कर्नेल के संदर्भ में अपनी पसंद का कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-9417 | A-38041027* B-RB#123023 |
आरसीई | सबसे अहम | वाई-फ़ाई ड्राइवर |
| CVE-2017-0705 | A-34973477* B-RB#119898 |
EoP | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-0706 | A-35195787* B-RB#120532 |
EoP | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
HTC के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0707 | A-36088467* | EoP | काफ़ी हद तक ठीक है | एलईडी ड्राइवर |
| CVE-2017-0708 | A-35384879* | आईडी | काफ़ी हद तक ठीक है | साउंड ड्राइवर |
| CVE-2017-0709 | A-35468048* | आईडी | कम | सेंसर हब ड्राइवर |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-6074 | A-35784697 अपस्ट्रीम कर्नल |
EoP | ज़्यादा | नेटवर्किंग सबसिस्टम |
| CVE-2017-5970 | A-35805460 अपस्ट्रीम कर्नल |
डीओएस | ज़्यादा | नेटवर्किंग सबसिस्टम |
| CVE-2015-5707 | A-35841297 अपस्ट्रीम कर्नेल [2] |
EoP | काफ़ी हद तक ठीक है | एससीएसआई ड्राइवर |
| CVE-2017-7308 | A-36725304 अपस्ट्रीम कर्नेल [2] [3] |
EoP | काफ़ी हद तक ठीक है | नेटवर्किंग ड्राइवर |
| CVE-2014-9731 | A-35841292 अपस्ट्रीम कर्नल |
आईडी | काफ़ी हद तक ठीक है | फ़ाइल सिस्टम |
MediaTek के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0711 | A-36099953* M-ALPS03206781 |
EoP | ज़्यादा | नेटवर्किंग ड्राइवर |
NVIDIA के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0340 | A-33968204* N-CVE-2017-0340 |
EoP | ज़्यादा | Libnvparser |
| CVE-2017-0326 | A-33718700* N-CVE-2017-0326 |
आईडी | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
Qualcomm के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को कर्नेल के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-8255 | A-36251983 QC-CR#985205 |
EoP | ज़्यादा | बूटलोडर |
| CVE-2016-10389 | A-34500449 QC-CR#1009145 |
EoP | ज़्यादा | बूटलोडर |
| CVE-2017-8253 | A-35400552 QC-CR#1086764 |
EoP | ज़्यादा | कैमरा ड्राइवर |
| CVE-2017-8262 | A-32938443 QC-CR#2029113 |
EoP | ज़्यादा | जीपीयू ड्राइवर |
| CVE-2017-8263 | A-34126808* QC-CR#1107034 |
EoP | ज़्यादा | पहचान छिपाकर शेयर की जाने वाली मेमोरी का सबसिस्टम |
| CVE-2017-8267 | A-34173755* QC-CR#2001129 |
EoP | ज़्यादा | पहचान छिपाकर शेयर की जाने वाली मेमोरी का सबसिस्टम |
| CVE-2017-8273 | A-35400056 QC-CR#1094372 [2] |
EoP | ज़्यादा | बूटलोडर |
| CVE-2016-5863 | A-36251182 QC-CR#1102936 |
EoP | काफ़ी हद तक ठीक है | यूएसबी एचआईडी ड्राइवर |
| CVE-2017-8243 | A-34112490* QC-CR#2001803 |
EoP | काफ़ी हद तक ठीक है | SoC ड्राइवर |
| CVE-2017-8246 | A-37275839 QC-CR#2008031 |
EoP | काफ़ी हद तक ठीक है | साउंड ड्राइवर |
| CVE-2017-8256 | A-37286701 QC-CR#1104565 |
EoP | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-8257 | A-37282763 QC-CR#2003129 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-8259 | A-34359487 QC-CR#2009016 |
EoP | काफ़ी हद तक ठीक है | SoC ड्राइवर |
| CVE-2017-8260 | A-34624155 QC-CR#2008469 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8261 | A-35139833* QC-CR#2013631 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8264 | A-33299365* QC-CR#1107702 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8265 | A-32341313 QC-CR#1109755 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-8266 | A-33863407 QC-CR#1110924 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-8268 | A-34620535* QC-CR#2002207 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8270 | A-35468665* QC-CR#2021363 |
EoP | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-8271 | A-35950388* QC-CR#2028681 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-8272 | A-35950805* QC-CR#2028702 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-8254 | A-36252027 QC-CR#832914 |
आईडी | काफ़ी हद तक ठीक है | साउंड ड्राइवर |
| CVE-2017-8258 | A-37279737 QC-CR#2005647 |
आईडी | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8269 | A-33967002* QC-CR#2013145 |
आईडी | काफ़ी हद तक ठीक है | IPA ड्राइवर |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इन कमजोरियों का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, 2014 से 2016 के Qualcomm AMSS के सुरक्षा बुलेटिन में दी गई है. इन्हें इस Android सुरक्षा बुलेटिन में शामिल किया गया है, ताकि इनकी वजह से होने वाली समस्याओं को Android के सुरक्षा पैच लेवल से जोड़ा जा सके. इन कमजोरियों को ठीक करने के लिए, सीधे तौर पर Qualcomm से मदद ली जा सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2014-9411 | A-37473054* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9968 | A-37304413* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9973 | A-37470982* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9974 | A-37471979* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9975 | A-37471230* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9977 | A-37471087* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9978 | A-37468982* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9979 | A-37471088* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2014-9980 | A-37471029* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-0575 | A-37296999* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-8592 | A-37470090* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-8595 | A-37472411* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-8596 | A-37472806* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9034 | A-37305706* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9035 | A-37303626* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9036 | A-37303519* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9037 | A-37304366* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9038 | A-37303027* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9039 | A-37302628* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9040 | A-37303625* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9041 | A-37303518* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9042 | A-37301248* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9043 | A-37305954* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9044 | A-37303520* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9045 | A-37302136* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9046 | A-37301486* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9047 | A-37304367* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9048 | A-37305707* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9049 | A-37301488* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9050 | A-37302137* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9051 | A-37300737* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9052 | A-37304217* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9053 | A-37301249* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9054 | A-37303177* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9055 | A-37472412* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9060 | A-37472807* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9061 | A-37470436* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9062 | A-37472808* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9067 | A-37474000* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9068 | A-37470144* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9069 | A-37470777* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9070 | A-37474001* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9071 | A-37471819* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9072 | A-37474002* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2015-9073 | A-37473407* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10343 | A-32580186* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10344 | A-32583954* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10346 | A-37473408* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10347 | A-37471089* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10382 | A-28823584* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10383 | A-28822389* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10388 | A-32580294* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-10391 | A-32583804* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-5871 | A-37473055* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
| CVE-2016-5872 | A-37472809* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
Google डिवाइस के अपडेट
इस टेबल में, Google डिवाइसों के लिए, ओवर-द-एयर अपडेट (ओटीए) और फ़र्मवेयर इमेज में मौजूद सुरक्षा पैच लेवल की जानकारी दी गई है. Google डिवाइस के फ़र्मवेयर की इमेज, Google Developer साइट पर उपलब्ध हैं.
| Google डिवाइस | सुरक्षा पैच का लेवल |
|---|---|
| Pixel / Pixel XL | 5 जुलाई, 2017 |
| Nexus 5X | 5 जुलाई, 2017 |
| Nexus 6 | 5 जुलाई, 2017 |
| Nexus 6P | 5 जुलाई, 2017 |
| Nexus 9 | 5 जुलाई, 2017 |
| Nexus Player | 5 जुलाई, 2017 |
| Pixel C | 5 जुलाई, 2017 |
Google डिवाइस के अपडेट में, सुरक्षा से जुड़ी इन कमज़ोरियों के लिए पैच भी शामिल होते हैं. हालांकि, ऐसा तब ही होता है, जब ये कमज़ोरियां आपके डिवाइस पर लागू हों:
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0710 | A-34951864* | EoP | काफ़ी हद तक ठीक है | टीसीबी |
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
| सीवीई | रिसर्चर |
|---|---|
| CVE-2017-8263 | Google के बिली लाउ |
| CVE-2017-0711 | Alibaba Mobile Security Group के चेनगमिंग यांग, बाओज़ेंग डिंग, और यांग सॉन्ग |
| CVE-2017-0681 | C0RE टीम के चि ज़ैंग,हैंशियांग वेन, मिंगजियन झोउ (@Mingjian_Zhou), और जूशियन जियांग |
| CVE-2017-0706 | Tencent के Xuanwu Lab के डाक्सिंग गुओ (@freener0) |
| CVE-2017-8260 | डेरेक (@derrekr6) और स्कॉट बाउर |
| CVE-2017-8265 | Tencent के KeenLab (@keen_lab) के डि शेन (@returnsme) |
| CVE-2017-0703 | Dzmitry Lukyanenka |
| CVE-2017-0692, CVE-2017-0694 | Qihoo 360 Technology Co. Ltd. की Alpha Team के Elphet और Gong Guang |
| CVE-2017-8266, CVE-2017-8243, CVE-2017-8270 | Gengjia Chen (@chengjia4574) और Qihoo 360 Technology Co. Ltd. के IceSword Lab के pjf. |
| CVE-2017-0665 | C0RE टीम के चि ज़ैंग,हैंशियांग वेन, मिंगजियन झोउ (@Mingjian_Zhou), और जूशियन जियांग |
| CVE-2017-8268, CVE-2017-8261 | Qihoo 360 के IceSword Lab के @jianqiangzhao और pjf |
| CVE-2017-0698 | Census Consulting Inc. के जोई ब्रैंड |
| CVE-2017-0666, CVE-2017-0684 | C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), ची जांग, और शुक्सियन जियांग |
| CVE-2017-0697, CVE-2017-0670 | Niky1235 (@jiych_guru) |
| CVE-2017-9417 | Exodus Intelligence के नितय आर्टस्टीन |
| CVE-2017-0705, CVE-2017-8259 | स्कॉट बाउर |
| CVE-2017-0667 | CSS Inc. के टिमोथी बेकर |
| CVE-2017-0682, CVE-2017-0683, CVE-2017-0676, CVE-2017-0696, CVE-2017-0675, CVE-2017-0701, CVE-2017-0702, CVE-2017-0699 | वसीली वासिलिएव |
| CVE-2017-0695, CVE-2017-0689, CVE-2017-0540, CVE-2017-0680, CVE-2017-0679, CVE-2017-0685, CVE-2017-0686, CVE-2017-0693, CVE-2017-0674, CVE-2017-0677 | Trend Micro की मोबाइल खतरे से जुड़ी प्रतिक्रिया टीम के वी.ई.ओ (@VYSEa) |
| CVE-2017-0708 | Tencent Security Platform Department की शिलिंग गोंग |
| CVE-2017-0690 | Qihoo 360 Qex टीम के यांगकांग (@dnpushme) और लियादोंग |
| CVE-2017-8269, CVE-2017-8271, CVE-2017-8272, CVE-2017-8267 | Qihoo 360 Technology Co. Ltd. के IceSword Lab में काम करने वाले @guoygang |
| CVE-2017-8264, CVE-2017-0326, CVE-2017-0709 | C0RE टीम के युआन-त्सुंग लो (computernik@gmail.com) और शुक्सियन जियांग |
| CVE-2017-0704, CVE-2017-0669 | Tencent Security Platform Department के Yuxiang Li (@Xbalien29) |
| CVE-2017-0710 | Android की सुरक्षा टीम के ज़ैक रिगल (@ebeip90) |
| CVE-2017-0678 | Qihoo 360 Technology Co. Ltd. के चेंग्दू सिक्योरिटी रिस्पॉन्स सेंटर की ज़िनू हान |
| CVE-2017-0691, CVE-2017-0700 | Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. के Zinuo Han और Pangu Team के Ao Wang (@ArayzSegment) |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.
- 01-07-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 01-07-2017 के सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-07-2017 या इसके बाद के सिक्योरिटी पैच लेवल, 05-07-2017 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-07-01]
- [ro.build.version.security_patch]:[2017-07-05]
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01 जुलाई, 2017 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05 जुलाई, 2017 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के लिए, रेफ़रंस कॉलम में Android गड़बड़ी आईडी के बगल में * का निशान दिखता है. आम तौर पर, उस समस्या का अपडेट, Nexus डिवाइसों के लिए नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.
वर्शन
| वर्शन | तारीख | अहम जानकारी |
|---|---|---|
| 1.0 | 5 जुलाई, 2017 | बुलेटिन पब्लिश हो गया. |
| 1.1 | 6 जुलाई, 2017 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया है. |
| 1.2 | 11 जुलाई, 2017 | सूचनाएं अपडेट करने के लिए, बुलेटिन में बदलाव किया गया है. |
| 1.3 | 17 अगस्त, 2017 | रेफ़रंस नंबर अपडेट करने के लिए, बुलेटिन में बदलाव किया गया है. |
| 1.4 | 19 सितंबर, 2017 | CVE-2017-0710 के लिए, अपडेट किए गए स्वीकार किए गए अनुरोध. |
| 1.5 | 26 सितंबर, 2017 | CVE-2017-0681 के लिए, अपडेट किए गए स्वीकार किए गए अनुरोध. |