पब्लिश किया गया: 7 अगस्त, 2017 | अपडेट किया गया: 23 अगस्त, 2017
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. सुरक्षा पैच के 05 अगस्त, 2017 या उसके बाद के लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.
पार्टनर को कम से कम एक महीने पहले, सूचना में बताई गई समस्याओं के बारे में सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस बुलेटिन में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, मीडिया फ़्रेमवर्क में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस बात को ध्यान में रखकर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए कमज़ोरी को कम करने वाले उपाय बंद किए गए हैं या नहीं. इसके अलावा, यह भी ध्यान में रखा जाता है कि कमज़ोरी को बायपास किया गया है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाओं वाले सेक्शन पर जाएं. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
ध्यान दें: Google डिवाइसों के लिए, ओवर-द-एयर (ओटीए) अपडेट और फ़र्मवेयर इमेज की नई जानकारी, Google डिवाइस के अपडेट सेक्शन में उपलब्ध है.
सूचनाएं
- इस सूचना में, सिक्योरिटी पैच लेवल की दो स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं. ज़्यादा जानकारी के लिए, आम तौर पर पूछे जाने वाले सवाल और उनके जवाब देखें:
- 01-08-2017: सुरक्षा पैच के लेवल की स्ट्रिंग का कुछ हिस्सा. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-08-2017 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-08-2017: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. इस सिक्योरिटी पैच लेवल की स्ट्रिंग से पता चलता है कि 01-08-2017 और 05-08-2017 (और सिक्योरिटी पैच लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाएं
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google Mobile Services वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू होता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.
01-08-2017 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 01-08-2017 के पैच लेवल पर लागू होती हैं. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. इसमें समस्या के बारे में जानकारी दी गई है. साथ ही, एक टेबल में CVE, उससे जुड़े रेफ़रंस, सुरक्षा से जुड़े जोखिम का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) की जानकारी दी गई है. जब उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, किसी खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को चालू किया जा सकता है. इससे, ऐप्लिकेशन किसी खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0712 | A-37207928 | EoP | काफ़ी हद तक ठीक है | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
लाइब्रेरी
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0713 | A-32096780 [2] | आरसीई | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0714 | A-36492637 | आरसीई | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0715 | A-36998372 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0716 | A-37203196 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0718 | A-37273547 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0719 | A-37273673 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0720 | A-37430213 | आरसीई | सबसे अहम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0721 | A-37561455 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0722 | A-37660827 | आरसीई | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0723 | A-37968755 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0745 | A-37079296 | आरसीई | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0724 | A-36819262 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0725 | A-37627194 | डीओएस | ज़्यादा | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0726 | A-36389123 | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0727 | A-33004354 | EoP | ज़्यादा | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0728 | A-37469795 | डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0729 | A-37710346 | EoP | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0730 | A-36279112 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0731 | A-36075363 | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0732 | A-37504237 | EoP | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0733 | A-38391487 | डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0734 | A-38014992 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0735 | A-38239864 [2] | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0736 | A-38487564 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0687 | A-35583675 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0737 | A-37563942 | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0805 | A-37237701 | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0738 | A-37563371 [2] | आईडी | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0739 | A-37712181 | आईडी | काफ़ी हद तक ठीक है | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
05-08-2017 सुरक्षा पैच का लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 05-08-2017 के पैच लेवल पर लागू होती है. जोखिम की संभावनाओं को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनका असर पड़ता है. इनमें CVE, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, कॉम्पोनेंट (जहां लागू हो), और अपडेट किए गए AOSP वर्शन (जहां लागू हो) जैसी जानकारी शामिल होती है. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो बग आईडी के बाद के नंबर से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
Broadcom के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0740 | A-37168488* B-RB#116402 |
आरसीई | काफ़ी हद तक ठीक है | नेटवर्किंग ड्राइवर |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-10661 | A-36266767 अपस्ट्रीम कर्नल |
EoP | ज़्यादा | फ़ाइल सिस्टम |
| CVE-2017-0750 | A-36817013* | EoP | काफ़ी हद तक ठीक है | फ़ाइल सिस्टम |
| CVE-2017-10662 | A-36815012 अपस्ट्रीम कर्नल |
EoP | काफ़ी हद तक ठीक है | फ़ाइल सिस्टम |
| CVE-2017-10663 | A-36588520 अपस्ट्रीम कर्नल |
EoP | काफ़ी हद तक ठीक है | फ़ाइल सिस्टम |
| CVE-2017-0749 | A-36007735* | EoP | काफ़ी हद तक ठीक है | Linux कर्नेल |
MediaTek के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0741 | A-32458601* M-ALPS03007523 |
EoP | ज़्यादा | जीपीयू ड्राइवर |
| CVE-2017-0742 | A-36074857* M-ALPS03275524 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
Qualcomm के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0746 | A-35467471* QC-CR#2029392 |
EoP | काफ़ी हद तक ठीक है | IPA ड्राइवर |
| CVE-2017-0747 | A-32524214* QC-CR#2044821 |
EoP | काफ़ी हद तक ठीक है | मालिकाना हक वाला कॉम्पोनेंट |
| CVE-2017-9678 | A-35258962* QC-CR#2028228 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-9691 | A-33842910* QC-CR#1116560 |
EoP | काफ़ी हद तक ठीक है | MobiCore ड्राइवर (Trustonic) |
| CVE-2017-9684 | A-35136547* QC-CR#2037524 |
EoP | काफ़ी हद तक ठीक है | यूएसबी ड्राइवर |
| CVE-2017-9682 | A-36491445* QC-CR#2030434 |
आईडी | काफ़ी हद तक ठीक है | जीपीयू ड्राइवर |
Google डिवाइस के अपडेट
इस टेबल में, Google डिवाइसों के लिए, ओवर-द-एयर अपडेट (ओटीए) और फ़र्मवेयर इमेज में मौजूद सुरक्षा पैच लेवल की जानकारी दी गई है. Google डिवाइस के फ़र्मवेयर की इमेज, Google Developer साइट पर उपलब्ध हैं.
| Google डिवाइस | सुरक्षा पैच का लेवल |
|---|---|
| Pixel / Pixel XL | 05 अगस्त, 2017 |
| Nexus 5X | 05 अगस्त, 2017 |
| Nexus 6 | 05 अगस्त, 2017 |
| Nexus 6P | 05 अगस्त, 2017 |
| Nexus 9 | 05 अगस्त, 2017 |
| Nexus Player | 05 अगस्त, 2017 |
| Pixel C | 05 अगस्त, 2017 |
Google डिवाइस के अपडेट में, सुरक्षा से जुड़ी इन कमज़ोरियों के लिए पैच भी शामिल होते हैं. हालांकि, ऐसा तब ही होता है, जब ये कमज़ोरियां आपके डिवाइस पर लागू हों:
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0744 | A-34112726* N-CVE-2017-0744 |
EoP | कम | साउंड ड्राइवर |
| CVE-2017-9679 | A-35644510* QC-CR#2029409 |
आईडी | कम | SoC ड्राइवर |
| CVE-2017-9680 | A-35764241* QC-CR#2030137 |
आईडी | कम | SoC ड्राइवर |
| CVE-2017-0748 | A-35764875* QC-CR#2029798 |
आईडी | कम | ऑडियो ड्राइवर |
| CVE-2017-9681 | A-36386593* QC-CR#2030426 |
आईडी | कम | रेडियो ड्राइवर |
| CVE-2017-9693 | A-36817798* QC-CR#2044820 |
आईडी | कम | नेटवर्किंग ड्राइवर |
| CVE-2017-9694 | A-36818198* QC-CR#2045470 |
आईडी | कम | नेटवर्किंग ड्राइवर |
| CVE-2017-0751 | A-36591162* QC-CR#2045061 |
EoP | कम | QCE ड्राइवर |
| CVE-2017-9692 | A-36731152* QC-CR#2021707 |
डीओएस | कम | ग्राफ़िक ड्राइवर |
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
| सीवीई | रिसर्चर |
|---|---|
| CVE-2017-0741, CVE-2017-0742, CVE-2017-0751 | Alibaba Mobile Security Group के बाओज़ेंग डिंग (@sploving), चेनिमिंग यांग, और यांग सॉन्ग |
| CVE-2017-9682 | Android Security के बिली लाऊ |
| CVE-2017-0739 | Dacheng Shao, Hongli Han (@HexB1n), Mingjian Zhou (@Mingjian_Zhou), और C0RE टीम के Xuxian Jiang |
| CVE-2017-9691, CVE-2017-0744 | Gengjia Chen (@chengjia4574) और Qihoo 360 Technology Co. Ltd. के IceSword Lab के pjf. |
| CVE-2017-0727 | Guang Gong (龚广) (@oldfresher), Alpha Team, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0737 | C0RE टीम के हैंशियांग वेन, मिन्गजियन झोउ (@Mingjian_Zhou), और शुशियन जियांग |
| CVE-2017-0748 | Qihoo 360 Technology Co. Ltd. की Alpha टीम के हाओ चेन और गुआंग गोंग |
| CVE-2017-0731 | C0RE टीम के होंगली हान (@HexB1n), मिन्गजियन ज़ू (@Mingjian_Zhou), और शुक्सियन जियांग |
| CVE-2017-9679 | Tesla की प्रॉडक्ट सुरक्षा टीम के नेथन क्रैंडल (@natecray) |
| CVE-2017-0726 | Niky1235 (@jiych_guru) |
| CVE-2017-9684, CVE-2017-9694, CVE-2017-9693, CVE-2017-9681, CVE-2017-0738, CVE-2017-0728 | Baidu X-Lab (百度安全实验室) के पेंगफ़ेई डिंग (丁鹏飞), चेनफ़ू बाओ (包沉浮), और लेनक्स वेई (韦韬) |
| CVE-2017-9680, CVE-2017-0740 | स्कॉट बाउर (@ScottyBauer1) |
| CVE-2017-0724 | TrendMicro के Seven Shen (@lingtongshen) |
| CVE-2017-0732, CVE-2017-0805 | CSS Inc. के टिमोथी बेकर |
| CVE-2017-10661 | C0RE टीम के टोंग लिन (segfault5514@gmail.com), युआन-त्सुंग लो (computernik@gmail.com), और शुक्सियन जियांग |
| CVE-2017-0712 | वैलेरियो कोस्टामाग्ना (@vaio_co) और मार्को बार्टोली (@wsxarcher) |
| CVE-2017-0716 | वसीली वासिलिएव |
| CVE-2017-0750, CVE-2017-0713, CVE-2017-0715, CVE-2017-10662CVE-2017-10663 | Trend Micro की मोबाइल खतरे से जुड़ी प्रतिक्रिया टीम के वी.ई.ओ (@VYSEa) |
| CVE-2017-9678 | Huawei की एससीसी (सिनारिस्ट क्लोज़्ड कैप्शन) टीम के Eagleye की यान झोउ |
| CVE-2017-0749, CVE-2017-0746 | Qihoo 360 Technology Co. Ltd. के IceSword Lab में काम करने वाले @guoygang |
| CVE-2017-0729 | Tencent की Xuanwu Lab के यींगके वांग |
| CVE-2017-0714, CVE-2017-0719, CVE-2017-0718, CVE-2017-0722, CVE-2017-0725, CVE-2017-0720, CVE-2017-0745 | Qihoo 360 Technology Co. Ltd. के चेंग्दू सिक्योरिटी रिस्पॉन्स सेंटर की ज़िनू हान |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.
- 01-08-2017 या उसके बाद के सुरक्षा पैच लेवल, 01-08-2017 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-08-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 05-08-2017 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-08-01]
- [ro.build.version.security_patch]:[2017-08-05]
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01 अगस्त, 2017 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05 अगस्त, 2017 या इसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के लिए, रेफ़रंस कॉलम में Android बग आईडी के बगल में * दिखता है. आम तौर पर, उस समस्या का अपडेट, Nexus डिवाइसों के लिए नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 7 अगस्त, 2017 | बुलेटिन पब्लिश हो गया. |
| 1.1 | 8 अगस्त, 2017 | AOSP के लिंक और स्वीकार करने के लिए बने नोट को शामिल करने के लिए, बुलेटिन में बदलाव किया गया है. |
| 1.2 | 14 अगस्त, 2017 | CVE-2017-0687 को जोड़ने के लिए, बुलेटिन में बदलाव किया गया है. |
| 1.2 | 23 अगस्त, 2017 | CVE-2017-0805 को जोड़ने के लिए, बुलेटिन में बदलाव किया गया है. |