5 सितंबर, 2017 को प्रकाशित | 5 अक्टूबर, 2017 को अपडेट किया गया
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। 05 सितंबर, 2017 या बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।
भागीदारों को कम से कम एक महीने पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपोजिटरी में जारी किए गए हैं और इस बुलेटिन से जुड़े हुए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक गंभीर गंभीरता भेद्यता है जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या सफलतापूर्वक बायपास कर दिया गया है।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए Android और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।
नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर इमेज की जानकारी Google डिवाइस अपडेट सेक्शन में उपलब्ध है।
घोषणाओं
- इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं जो सभी Android उपकरणों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2017-09-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-09-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2017-09-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-09-01 और 2017-09-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
Android और Google सेवा में कमी
यह Android सुरक्षा प्लेटफ़ॉर्म और Google Play Protect जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play Protect के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play Protect Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम होता है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।
2017-09-01 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो वे प्रभावित करते हैं। समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता के प्रकार , गंभीरता , और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
रूपरेखा
इस खंड में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अपडेट किया गया एओएसपी संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0752 | ए-62196835 [ 2 ] | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
पुस्तकालयों
इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को एक गैर-विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अपडेट किया गया एओएसपी संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0753 | ए-62218744 | आरसीई | उच्च | 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-6983 | ए-63852675 | आरसीई | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0755 | ए-32178311 | ईओपी | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
मीडिया फ्रेमवर्क
इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अपडेट किया गया एओएसपी संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0756 | ए-34621073 | आरसीई | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0757 | ए-36006815 | आरसीई | नाजुक | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0758 | ए-36492741 | आरसीई | नाजुक | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0759 | ए-36715268 | आरसीई | नाजुक | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0760 | ए-37237396 | आरसीई | नाजुक | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0761 | ए-38448381 | आरसीई | नाजुक | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0762 | ए-62214264 | आरसीई | नाजुक | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0763 | ए-62534693 | आरसीई | नाजुक | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0764 | ए-62872015 | आरसीई | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0765 | ए-62872863 | आरसीई | नाजुक | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0766 | ए-37776688 | आरसीई | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0767 | ए-37536407 [ 2 ] | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0768 | ए-6209992 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0769 | ए-37662122 | ईओपी | उच्च | 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0770 | ए-38234812 | ईओपी | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0771 | ए-37624243 | करने योग्य | उच्च | 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0772 | ए-38115076 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0773 | ए-37615911 | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0774 | ए-62673844 [ 2 ] | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0775 | ए-62673179 | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0776 | ए-38496660 | पहचान | संतुलित | 7.0, 7.1.1, 7.1.2, 8.0 |
| करने योग्य | उच्च | 6.0.1 | ||
| सीवीई-2017-0777 | ए-38342499 | पहचान | संतुलित | 7.0, 7.1.1, 7.1.2 |
| करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| सीवीई-2017-0778 | ए-62133227 | पहचान | संतुलित | 7.0, 7.1.1, 7.1.2 |
| करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| सीवीई-2017-0779 | ए-38340117 [ 2 ] | पहचान | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
क्रम
इस खंड में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके किसी एप्लिकेशन को हैंग करने के लिए सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अपडेट किया गया एओएसपी संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0780 | ए-37742976 | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
व्यवस्था
इस खंड में सबसे गंभीर भेद्यता एक निकटवर्ती हमलावर को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अपडेट किया गया एओएसपी संस्करण |
|---|---|---|---|---|
| सीवीई-2017-0781 | ए-63146105 [ 2 ] | आरसीई | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0782 | ए-63146237 [ 2 ] [ 3 ] | आरसीई | नाजुक | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0783 | ए-63145701 | पहचान | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| सीवीई-2017-0784 | ए-37287958 | ईओपी | संतुलित | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| सीवीई-2017-0785 | ए-63146698 | पहचान | संतुलित | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
2017-09-05 सुरक्षा पैच स्तर—भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत समूहीकृत किया जाता है जो वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता के प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।
ब्रॉडकॉम घटक
इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक निकटवर्ती हमलावर को सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-11120 | ए-62575409 * बी-वी2017061204 | आरसीई | नाजुक | वाई-फाई ड्राइवर |
| सीवीई-2017-11121 | ए-62576413 * बी-वी2017061205 | आरसीई | नाजुक | वाई-फाई ड्राइवर |
| सीवीई-2017-7065 | ए-62575138 * बी-वी2017061202 | आरसीई | नाजुक | वाई-फाई ड्राइवर |
| सीवीई-2017-0786 | ए-37351060 * बी-वी2017060101 | ईओपी | उच्च | वाई-फाई ड्राइवर |
| सीवीई-2017-0787 | ए-37722970 * बी-वी2017053104 | ईओपी | संतुलित | वाई-फाई ड्राइवर |
| सीवीई-2017-0788 | ए-37722328 * बी-वी2017053103 | ईओपी | संतुलित | वाई-फाई ड्राइवर |
| सीवीई-2017-0789 | ए-37685267 * बी-वी2017053102 | ईओपी | संतुलित | वाई-फाई ड्राइवर |
| सीवीई-2017-0790 | ए-37357704 * बी-वी2017053101 | ईओपी | संतुलित | वाई-फाई ड्राइवर |
| सीवीई-2017-0791 | ए-37306719 * बी-वी2017052302 | ईओपी | संतुलित | वाई-फाई ड्राइवर |
| सीवीई-2017-0792 | ए-37305578 * बी-वी2017052301 | पहचान | संतुलित | वाई-फाई ड्राइवर |
आईएमजीटीके घटक
इस खंड में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0793 | ए-35764946 * | पहचान | उच्च | मेमोरी सबसिस्टम |
कर्नेल घटक
इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-8890 | ए-38413975 अपस्ट्रीम कर्नेल | आरसीई | नाजुक | नेटवर्किंग सबसिस्टम |
| सीवीई-2017-9076 | ए-62299478 अपस्ट्रीम कर्नेल | ईओपी | उच्च | नेटवर्किंग सबसिस्टम |
| सीवीई-2017-9150 | ए-62199770 अपस्ट्रीम कर्नेल | पहचान | उच्च | लिनक्स कर्नेल |
| सीवीई-2017-7487 | ए-62070688 अपस्ट्रीम कर्नेल | ईओपी | उच्च | IPX प्रोटोकॉल ड्राइवर |
| सीवीई-2017-6214 | ए-37901268 अपस्ट्रीम कर्नेल | करने योग्य | उच्च | नेटवर्किंग सबसिस्टम |
| सीवीई-2017-6346 | ए-37897645 अपस्ट्रीम कर्नेल | ईओपी | उच्च | लिनक्स कर्नेल |
| सीवीई-2017-5897 | ए-37871211 अपस्ट्रीम कर्नेल | पहचान | उच्च | नेटवर्किंग सबसिस्टम |
| सीवीई-2017-7495 | ए-62198330 अपस्ट्रीम कर्नेल | पहचान | उच्च | फाइल सिस्टम |
| सीवीई-2017-7616 | ए-37751399 अपस्ट्रीम कर्नेल | पहचान | संतुलित | लिनक्स कर्नेल |
| सीवीई-2017-12146 | ए-35676417 अपस्ट्रीम कर्नेल | ईओपी | संतुलित | लिनक्स कर्नेल |
| सीवीई-2017-0794 | ए-35644812 * | ईओपी | संतुलित | एससीएसआई चालक |
मीडियाटेक घटक
इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-0795 | ए-36198473 * एम-एएलपीएस03361480 | ईओपी | उच्च | एक्सेसरी डिटेक्टर ड्राइवर |
| सीवीई-2017-0796 | ए-62458865 * एम-एएलपीएस03353884 एम-एएलपीएस03353886 एम-एएलपीएस03353887 | ईओपी | उच्च | AUXADC ड्राइवर |
| सीवीई-2017-0797 | ए-62459766 * एम-एएलपीएस03353854 | ईओपी | उच्च | एक्सेसरी डिटेक्टर ड्राइवर |
| सीवीई-2017-0798 | ए-36100671 * एम-एएलपीएस03365532 | ईओपी | उच्च | गुठली |
| सीवीई-2017-0799 | ए-36731602 * एम-एएलपीएस03342072 | ईओपी | उच्च | लास्टबस |
| सीवीई-2017-0800 | ए-37683975 * एम-ALPS03302988 | ईओपी | उच्च | टीईईआई |
| सीवीई-2017-0801 | ए-38447970 * एम-एएलपीएस03337980 | ईओपी | उच्च | LibMtkOmxVdec |
| सीवीई-2017-0802 | ए-36232120 * एम-एएलपीएस03384818 | ईओपी | संतुलित | गुठली |
| सीवीई-2017-0803 | ए-36136137 * एम-एएलपीएस03361477 | ईओपी | संतुलित | एक्सेसरी डिटेक्टर ड्राइवर |
| सीवीई-2017-0804 | ए-36274676 * एम-एएलपीएस03361487 | ईओपी | संतुलित | एमएमसी चालक |
क्वालकॉम घटक
इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।
| सीवीई | संदर्भ | टाइप | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-11041 | ए-36130225 * क्यूसी-सीआर#2053101 | आरसीई | नाजुक | LibOmxVenc |
| सीवीई-2017-10996 | ए-38198574 क्यूसी-सीआर#901529 | पहचान | उच्च | लिनक्स कर्नेल |
| सीवीई-2017-9725 | ए-38195738 क्यूसी-सीआर#896659 | ईओपी | उच्च | मेमोरी सबसिस्टम |
| सीवीई-2017-9724 | ए-38196929 क्यूसी-सीआर#863303 | ईओपी | उच्च | लिनक्स कर्नेल |
| सीवीई-2017-8278 | ए-62379474 क्यूसी-सीआर#2013236 | ईओपी | उच्च | ऑडियो ड्राइवर |
| सीवीई-2017-10999 | ए-36490777 * क्यूसी-सीआर#2010713 | ईओपी | संतुलित | आईपीए चालक |
| सीवीई-2017-11001 | ए-36815555 * क्यूसी-सीआर#2051433 | पहचान | संतुलित | वाई-फाई ड्राइवर |
| सीवीई-2017-11002 | ए-37712167 * क्यूसी-सीआर#2058452 क्यूसी-सीआर#2054690 क्यूसी-सीआर#2058455 | पहचान | संतुलित | वाई-फाई ड्राइवर |
| सीवीई-2017-8250 | ए-62379051 क्यूसी-सीआर#2003924 | ईओपी | संतुलित | GPU ड्राइवर |
| सीवीई-2017-9677 | ए-62379475 क्यूसी-सीआर#2022953 | ईओपी | संतुलित | ऑडियो ड्राइवर |
| सीवीई-2017-10998 | ए-38195131 क्यूसी-सीआर#108461 | ईओपी | संतुलित | ऑडियो ड्राइवर |
| सीवीई-2017-9676 | ए-62378596 क्यूसी-सीआर#2016517 | पहचान | संतुलित | फाइल सिस्टम |
| सीवीई-2017-8280 | ए-62377236 क्यूसी-सीआर#2015858 | ईओपी | संतुलित | WLAN ड्राइवर |
| सीवीई-2017-8251 | ए-62379525 क्यूसी-सीआर#2006015 | ईओपी | संतुलित | कैमरा ड्राइवर |
| सीवीई-2017-10997 | ए-33039685 * क्यूसी-सीआर#1103077 | ईओपी | संतुलित | पीसीआई चालक |
| सीवीई-2017-11000 | ए-36136563 * क्यूसी-सीआर#2031677 | ईओपी | संतुलित | कैमरा ड्राइवर |
| सीवीई-2017-8247 | ए-62378684 क्यूसी-सीआर#2023513 | ईओपी | संतुलित | कैमरा ड्राइवर |
| सीवीई-2017-9720 | ए-36264696 * क्यूसी-सीआर#2041066 | ईओपी | संतुलित | कैमरा ड्राइवर |
| सीवीई-2017-8277 | ए-62378788 क्यूसी-सीआर#2009047 | ईओपी | संतुलित | वीडियो ड्राइवर |
| सीवीई-2017-8281 | ए-62378232 क्यूसी-सीआर#2015892 | पहचान | संतुलित | ऑटोमोटिव मल्टीमीडिया |
| सीवीई-2017-11040 | ए-37567102 * क्यूसी-सीआर#2038166 | पहचान | संतुलित | वीडियो ड्राइवर |
Google डिवाइस अपडेट
इस तालिका में नवीनतम ओवर-द-एयर अपडेट (OTA) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस OTA में अतिरिक्त अपडेट भी हो सकते हैं। Google डिवाइस फ़र्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।
| गूगल डिवाइस | सुरक्षा पैच स्तर |
|---|---|
| पिक्सेल / पिक्सेल XL | 2017-09-05 |
| नेक्सस 5X | 2017-09-05 |
| नेक्सस 6 | 2017-09-05 |
| नेक्सस 6पी | 2017-09-05 |
| नेक्सस 9 | 2017-09-05 |
| नेक्सस प्लेयर | 2017-09-05 |
| पिक्सेल सी | 2017-09-05 |
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:
| सीवीई | शोधकर्ताओं |
|---|---|
| सीवीई-2017-11000 | बाओज़ेंग डिंग ( @sploving ), चेंगमिंग यांग, और अलीबाबा मोबाइल सुरक्षा समूह के यांग सॉन्ग |
| सीवीई-2017-0781, सीवीई-2017-0782, सीवीई-2017-0783, सीवीई-2017-0785 | आर्मिस, इंक. के बेन सेरी और ग्रेगरी विस्नेपोलस्की ( https://armis.com ) |
| सीवीई-2017-0800, सीवीई-2017-0798 | अलीबाबा मोबाइल सुरक्षा समूह के चेंगमिंग यांग, बाओज़ेंग डिंग और यांग सॉन्ग |
| सीवीई-2017-0765 | ची झांग , मिंगजियान झोउ ( @Mingjian_Zhou ), और C0RE टीम के जुक्सियन जियांग |
| सीवीई-2017-0758 | चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के चोंग वांग और 金哲 (झे जिन)। |
| सीवीई-2017-0752 | पालो ऑल्टो नेटवर्क के कांग झेंग ( @shellcong ), वेंजुन हू, जिओ झांग और झी जू |
| सीवीई-2017-0801 | दचेंग शाओ , मिंगजियान झोउ ( @Mingjian_Zhou ), और C0RE टीम के जुक्सियन जियांग |
| सीवीई-2017-0755 | अलीबाबा मोबाइल सुरक्षा टीम के दावेई पेंग ( वीबो: Vinc3nt4H ) |
| सीवीई-2017-0775, सीवीई-2017-0774, सीवीई-2017-0771 | अल्फा टीम के एल्फेट और गोंग गुआंग, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड। |
| सीवीई-2017-0784 | En He ( @ heeeeen4x ) और MS509Team के बो लियू |
| सीवीई-2017-10997 | गेंगजिया चेन ( @chengjia4574 ) और IceSword Lab, Qihoo 360 Technology Co. Ltd. |
| सीवीई-2017-0786, सीवीई-2017-0792, सीवीई-2017-0791, सीवीई-2017-0790, सीवीई-2017-0789, सीवीई-2017-0788, सीवीई-2017-0787 | अल्फा टीम के हाओ चेन और गुआंग गोंग, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड। |
| सीवीई-2017-0802 | शेलफिश ग्रिल टीम के जेक कोरिना ( @JakeCorina ) |
| सीवीई-2017-0780 | ट्रेंड माइक्रो के जेसन गु और सेवन शेन |
| सीवीई-2017-0769 | मिंगजियान झोउ ( @Mingjian_Zhou ), दचेंग शाओ , और C0RE टीम के जुक्सियन जियांग |
| सीवीई-2017-0794, सीवीई-2017-9720, सीवीई-2017-11001, सीवीई-2017-10999, सीवीई-2017-0766 | पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब (百度安全实验室) के लेनक्स वेई (韦韬) |
| सीवीई-2017-0772 | ट्रेंड माइक्रो के सेवन शेन |
| सीवीई-2017-0757 | वसीली वासिलीव |
| सीवीई-2017-0768, सीवीई-2017-0779 | वेन्के डू , मिंगजियान झोउ ( @Mingjian_Zhou ), और C0RE टीम के जुक्सियन जियांग |
| सीवीई-2017-0759 | अलीबाबा इंक के वीचाओ सन । |
| सीवीई-2017-0796 | जियांगकियान झांग, चेंगमिंग यांग, बाओज़ेंग डिंग, और अलीबाबा मोबाइल सुरक्षा समूह के यांग सॉन्ग |
| सीवीई-2017-0753 | यांगकांग ( @dnpushme ) और Qihoo360 Qex टीम के हुजियानफेई |
| सीवीई-2017-12146 | IceSword लैब के योंगगैंग गुओ ( @guoygang ), Qihoo 360 Technology Co. Ltd. |
| सीवीई-2017-0767 | Tencent के Xuanwu Lab . के योंगके वांग और यूबिन सन |
| सीवीई-2017-0804, सीवीई-2017-0803, सीवीई-2017-0799, सीवीई-2017-0795 | वुलपेकर टीम के यू पैन और यांग दाई , किहू 360 टेक्नोलॉजी कंपनी लिमिटेड |
| सीवीई-2017-0760 | चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान और 金哲 (ज़े जिन)। |
| सीवीई-2017-0764, सीवीई-2017-0761, सीवीई-2017-0776, सीवीई-2017-0777, सीवीई-2017-0778 | चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान । |
सामान्य प्रश्न और उत्तर
यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?
डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देशों को पढ़ें।
- 2017-09-01 या बाद के सुरक्षा पैच स्तर 2017-09-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
- 2017-09-05 या बाद के सुरक्षा पैच स्तर 2017-09-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-09-01]
- [ro.build.version.security_patch]:[2017-09-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- 2017-09-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
- 2017-09-05 या नए के सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।
भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।
3. टाइप कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।
| संक्षेपाक्षर | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड निष्पादन |
| ईओपी | विशेषाधिकार का उन्नयन |
| पहचान | जानकारी प्रकटीकरण |
| करने योग्य | सेवा की मनाई |
| एन/ए | वर्गीकरण उपलब्ध नहीं है |
4. सन्दर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| क्यूसी- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
5. संदर्भ कॉलम में Android बग आईडी के आगे * का क्या अर्थ है?
जो समस्याएं सार्वजनिक रूप से उपलब्ध नहीं हैं उनमें संदर्भ कॉलम में Android बग आईडी के आगे एक * होता है। उस समस्या के लिए अद्यतन आम तौर पर Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।
संस्करणों
| संस्करण | दिनांक | टिप्पणियाँ |
|---|---|---|
| 1.0 | 5 सितंबर, 2017 | बुलेटिन प्रकाशित हो चुकी है।. |
| 1.1 | 12 सितंबर, 2017 | उद्योग-समन्वित प्रकटीकरण के हिस्से के रूप में सीवीई-2017-0781, सीवीई-2017-0782, सीवीई-2017-0783, और सीवीई-2017-0785 के लिए जोड़ा गया विवरण। |
| 1.2 | 13 सितंबर, 2017 | AOSP लिंक्स को शामिल करने के लिए बुलेटिन में संशोधन किया गया। |
| 1.3 | 25 सितंबर, 2017 | उद्योग-समन्वित प्रकटीकरण के भाग के रूप में CVE-2017-11120 और CVE-2017-11121 के लिए जोड़ा गया विवरण। |
| 1.4 | 28 सितंबर, 2017 | CVE-2017-11001 के लिए विक्रेता संदर्भ अपडेट करें। |