पब्लिश करने की तारीख: 5 सितंबर, 2017 | अपडेट करने की तारीख: 5 अक्टूबर, 2017
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05 सितंबर, 2017 या उसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को ठीक करते हैं. किसी डिवाइस के सुरक्षा पैच के लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल देखें.
पार्टनर को कम से कम एक महीने पहले, सूचना में बताई गई समस्याओं के बारे में सूचना दी गई थी. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, मीडिया फ़्रेमवर्क में मौजूद एक गंभीर जोखिम है. इसकी वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस बात पर भी निर्भर करता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए कमज़ोरी को कम करने वाले उपाय बंद किए गए हैं या नहीं. इसके अलावा, यह भी देखा जाता है कि कमज़ोरी को बायपास किया गया है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाएं सेक्शन देखें. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा बेहतर होती है.
हमारा सुझाव है कि सभी ग्राहक अपने डिवाइसों पर ये अपडेट स्वीकार करें.
ध्यान दें: Google डिवाइसों के लिए, ओवर-द-एयर अपडेट (ओटीए) और फ़र्मवेयर इमेज की नई जानकारी, Google डिवाइस के अपडेट सेक्शन में उपलब्ध है.
सूचनाएं
- इस सूचना में, सिक्योरिटी पैच लेवल की दो स्ट्रिंग हैं. इनकी मदद से, Android पार्टनर, सभी Android डिवाइसों पर मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकते हैं. ज़्यादा जानकारी के लिए,
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब देखें:
- 01-09-2017: सुरक्षा पैच के लेवल की स्ट्रिंग का कुछ हिस्सा. सुरक्षा पैच के इस लेवल की स्ट्रिंग से पता चलता है कि 01-09-2017 (और सुरक्षा पैच के सभी पिछले लेवल की स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
- 05-09-2017: सुरक्षा पैच के लेवल की पूरी स्ट्रिंग. इस सिक्योरिटी पैच लेवल की स्ट्रिंग से पता चलता है कि 01-09-2017 और 05-09-2017 (और सिक्योरिटी पैच लेवल की सभी पिछली स्ट्रिंग) से जुड़ी सभी समस्याएं हल हो गई हैं.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android सुरक्षा प्लैटफ़ॉर्म और सेवा की सुरक्षा से जुड़ी सुविधाओं, जैसे कि Google Play Protect की मदद से, इस तरह के हमलों को कम करने के तरीकों के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, गलत इस्तेमाल की निगरानी करती है. साथ ही, नुकसान पहुंचाने की संभावना वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी भी देती है. Google Mobile Services वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और से ऐप्लिकेशन इंस्टॉल करते हैं.
01-09-2017 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
नीचे दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-09-2017 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. इसमें समस्या के बारे में जानकारी दी गई है. साथ ही, एक टेबल में CVE, उससे जुड़े रेफ़रंस, सुरक्षा से जुड़े जोखिम का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) की जानकारी दी गई है. जब उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को उपयोगकर्ता के इंटरैक्शन की ज़रूरी शर्तों को बायपास करने में मदद मिल सकती है. इससे, वह ऐप्लिकेशन अतिरिक्त अनुमतियों का ऐक्सेस पा सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0752 | A-62196835 [2] | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
लाइब्रेरी
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, बिना अनुमति वाली प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0753 | A-62218744 | आरसीई | ज़्यादा | 7.1.1, 7.1.2, 8.0 |
| CVE-2017-6983 | A-63852675 | आरसीई | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0755 | A-32178311 | EoP | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0756 | A-34621073 | आरसीई | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0757 | A-36006815 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0758 | A-36492741 | आरसीई | सबसे अहम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0759 | A-36715268 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0760 | A-37237396 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0761 | A-38448381 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0762 | A-62214264 | आरसीई | सबसे अहम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0763 | A-62534693 | आरसीई | सबसे अहम | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0764 | A-62872015 | आरसीई | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0765 | A-62872863 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0766 | A-37776688 | आरसीई | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0767 | A-37536407 [2] | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0768 | A-62019992 | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0769 | A-37662122 | EoP | ज़्यादा | 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0770 | A-38234812 | EoP | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0771 | A-37624243 | डीओएस | ज़्यादा | 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0772 | A-38115076 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0773 | A-37615911 | डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0774 | A-62673844 [2] | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0775 | A-62673179 | डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0776 | A-38496660 | आईडी | काफ़ी हद तक ठीक है | 7.0, 7.1.1, 7.1.2, 8.0 |
| डीओएस | ज़्यादा | 6.0.1 | ||
| CVE-2017-0777 | A-38342499 | आईडी | काफ़ी हद तक ठीक है | 7.0, 7.1.1, 7.1.2 |
| डीओएस | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0778 | A-62133227 | आईडी | काफ़ी हद तक ठीक है | 7.0, 7.1.1, 7.1.2 |
| डीओएस | ज़्यादा | 5.0.2, 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-0779 | A-38340117 [2] | आईडी | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
रनटाइम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, ऐप्लिकेशन को हैंग कर सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0780 | A-37742976 | डीओएस | ज़्यादा | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, पास में मौजूद कोई हैकर, ऐक्सेस की अनुमति वाली प्रोसेस के दायरे में, अपनी पसंद का कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-0781 | A-63146105 [2] | आरसीई | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0782 | A-63146237 [2] [3] | आरसीई | सबसे अहम | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0783 | A-63145701 | आईडी | ज़्यादा | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0784 | A-37287958 | EoP | काफ़ी हद तक ठीक है | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0785 | A-63146698 | आईडी | काफ़ी हद तक ठीक है | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
05-09-2017 सुरक्षा पैच का लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-09-2017 के पैच लेवल पर लागू होती हैं. जोखिम की संभावनाओं को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनका असर पड़ता है. इनमें CVE, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, कॉम्पोनेंट (जहां लागू हो), और अपडेट किए गए AOSP वर्शन (जहां लागू हो) जैसी जानकारी शामिल होती है. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो बग आईडी के बाद के नंबर से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
Broadcom के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, कोई हमलावर खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में आर्बिट्ररी कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-11120 | A-62575409* B-V2017061204 |
आरसीई | सबसे अहम | वाई-फ़ाई ड्राइवर |
| CVE-2017-11121 | A-62576413* B-V2017061205 |
आरसीई | सबसे अहम | वाई-फ़ाई ड्राइवर |
| CVE-2017-7065 | A-62575138* B-V2017061202 |
आरसीई | सबसे अहम | वाई-फ़ाई ड्राइवर |
| CVE-2017-0786 | A-37351060* B-V2017060101 |
EoP | ज़्यादा | वाई-फ़ाई ड्राइवर |
| CVE-2017-0787 | A-37722970* B-V2017053104 |
EoP | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-0788 | A-37722328* B-V2017053103 |
EoP | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-0789 | A-37685267* B-V2017053102 |
EoP | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-0790 | A-37357704* B-V2017053101 |
EoP | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-0791 | A-37306719* B-V2017052302 |
EoP | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-0792 | A-37305578* B-V2017052301 |
आईडी | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
Imgtk कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को अनुमति के लेवल से बाहर का डेटा ऐक्सेस करने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0793 | A-35764946* | आईडी | ज़्यादा | मेमोरी सबसिस्टम |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-8890 | A-38413975 अपस्ट्रीम कर्नेल |
आरसीई | सबसे अहम | नेटवर्किंग सबसिस्टम |
| CVE-2017-9076 | A-62299478 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | नेटवर्किंग सबसिस्टम |
| CVE-2017-9150 | A-62199770 अपस्ट्रीम कर्नेल |
आईडी | ज़्यादा | Linux कर्नेल |
| CVE-2017-7487 | A-62070688 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | आईपीएक्स प्रोटोकॉल ड्राइवर |
| CVE-2017-6214 | A-37901268 अपस्ट्रीम कर्नेल |
डीओएस | ज़्यादा | नेटवर्किंग सबसिस्टम |
| CVE-2017-6346 | A-37897645 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | Linux कर्नेल |
| CVE-2017-5897 | A-37871211 अपस्ट्रीम कर्नेल |
आईडी | ज़्यादा | नेटवर्किंग सबसिस्टम |
| CVE-2017-7495 | A-62198330 अपस्ट्रीम कर्नेल |
आईडी | ज़्यादा | फ़ाइल सिस्टम |
| CVE-2017-7616 | A-37751399 अपस्ट्रीम कर्नेल |
आईडी | काफ़ी हद तक ठीक है | Linux कर्नेल |
| CVE-2017-12146 | A-35676417 अपस्ट्रीम कर्नेल |
EoP | काफ़ी हद तक ठीक है | Linux कर्नेल |
| CVE-2017-0794 | A-35644812* | EoP | काफ़ी हद तक ठीक है | एससीएसआई ड्राइवर |
MediaTek के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-0795 | A-36198473* M-ALPS03361480 |
EoP | ज़्यादा | ऐक्सेसरी डिटेक्टर ड्राइवर |
| CVE-2017-0796 | A-62458865* M-ALPS03353884 M-ALPS03353886 M-ALPS03353887 |
EoP | ज़्यादा | AUXADC ड्राइवर |
| CVE-2017-0797 | A-62459766* M-ALPS03353854 |
EoP | ज़्यादा | ऐक्सेसरी डिटेक्टर ड्राइवर |
| CVE-2017-0798 | A-36100671* M-ALPS03365532 |
EoP | ज़्यादा | कर्नेल |
| CVE-2017-0799 | A-36731602* M-ALPS03342072 |
EoP | ज़्यादा | Lastbus |
| CVE-2017-0800 | A-37683975* M-ALPS03302988 |
EoP | ज़्यादा | TEEI |
| CVE-2017-0801 | A-38447970* M-ALPS03337980 |
EoP | ज़्यादा | LibMtkOmxVdec |
| CVE-2017-0802 | A-36232120* M-ALPS03384818 |
EoP | काफ़ी हद तक ठीक है | कर्नेल |
| CVE-2017-0803 | A-36136137* M-ALPS03361477 |
EoP | काफ़ी हद तक ठीक है | ऐक्सेसरी डिटेक्टर ड्राइवर |
| CVE-2017-0804 | A-36274676* M-ALPS03361487 |
EoP | काफ़ी हद तक ठीक है | एमएमसी ड्राइवर |
Qualcomm के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-11041 | A-36130225* QC-CR#2053101 |
आरसीई | सबसे अहम | LibOmxVenc |
| CVE-2017-10996 | A-38198574 QC-CR#901529 |
आईडी | ज़्यादा | Linux कर्नेल |
| CVE-2017-9725 | A-38195738 QC-CR#896659 |
EoP | ज़्यादा | मेमोरी सबसिस्टम |
| CVE-2017-9724 | A-38196929 QC-CR#863303 |
EoP | ज़्यादा | Linux कर्नेल |
| CVE-2017-8278 | A-62379474 QC-CR#2013236 |
EoP | ज़्यादा | ऑडियो ड्राइवर |
| CVE-2017-10999 | A-36490777* QC-CR#2010713 |
EoP | काफ़ी हद तक ठीक है | IPA ड्राइवर |
| CVE-2017-11001 | A-36815555* QC-CR#2051433 |
आईडी | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-11002 | A-37712167* QC-CR#2058452 QC-CR#2054690 QC-CR#2058455 |
आईडी | काफ़ी हद तक ठीक है | वाई-फ़ाई ड्राइवर |
| CVE-2017-8250 | A-62379051 QC-CR#2003924 |
EoP | काफ़ी हद तक ठीक है | जीपीयू ड्राइवर |
| CVE-2017-9677 | A-62379475 QC-CR#2022953 |
EoP | काफ़ी हद तक ठीक है | ऑडियो ड्राइवर |
| CVE-2017-10998 | A-38195131 QC-CR#108461 |
EoP | काफ़ी हद तक ठीक है | ऑडियो ड्राइवर |
| CVE-2017-9676 | A-62378596 QC-CR#2016517 |
आईडी | काफ़ी हद तक ठीक है | फ़ाइल सिस्टम |
| CVE-2017-8280 | A-62377236 QC-CR#2015858 |
EoP | काफ़ी हद तक ठीक है | WLAN ड्राइवर |
| CVE-2017-8251 | A-62379525 QC-CR#2006015 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-10997 | A-33039685* QC-CR#1103077 |
EoP | काफ़ी हद तक ठीक है | पीसीआई ड्राइवर |
| CVE-2017-11000 | A-36136563* QC-CR#2031677 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8247 | A-62378684 QC-CR#2023513 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-9720 | A-36264696* QC-CR#2041066 |
EoP | काफ़ी हद तक ठीक है | कैमरा ड्राइवर |
| CVE-2017-8277 | A-62378788 QC-CR#2009047 |
EoP | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
| CVE-2017-8281 | A-62378232 QC-CR#2015892 |
आईडी | काफ़ी हद तक ठीक है | वाहन से जुड़ा मल्टीमीडिया |
| CVE-2017-11040 | A-37567102* QC-CR#2038166 |
आईडी | काफ़ी हद तक ठीक है | वीडियो ड्राइवर |
Google डिवाइस के अपडेट
इस टेबल में, Google डिवाइसों के लिए, ओवर-द-एयर अपडेट (ओटीए) और फ़र्मवेयर इमेज में मौजूद सुरक्षा पैच लेवल की जानकारी दी गई है. Google डिवाइस के ओटीए में, अन्य अपडेट भी हो सकते हैं. Google डिवाइस के फ़र्मवेयर की इमेज, Google Developer साइट पर उपलब्ध हैं.
| Google डिवाइस | सुरक्षा पैच का लेवल |
|---|---|
| Pixel / Pixel XL | 2017-09-05 |
| Nexus 5X | 2017-09-05 |
| Nexus 6 | 2017-09-05 |
| Nexus 6P | 2017-09-05 |
| Nexus 9 | 2017-09-05 |
| Nexus Player | 2017-09-05 |
| Pixel C | 2017-09-05 |
आभार
हम इन रिसर्चर का योगदान देने के लिए धन्यवाद करना चाहते हैं:
| सीवीई | रिसर्चर |
|---|---|
| CVE-2017-11000 | Alibaba Mobile Security Group के बाओज़ेंग डिंग (@sploving), चेनिमिंग यांग, और यांग सॉन्ग |
| CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785 | Armis, Inc. (https://armis.com) के बेन सेरी और ग्रैगरी विष्णेपोलस्की |
| CVE-2017-0800, CVE-2017-0798 | Alibaba Mobile Security Group के चेनगमिंग यांग, बाओज़ेंग डिंग, और यांग सॉन्ग |
| CVE-2017-0765 | C0RE टीम के चि ज़ैंग, मिंगजियन झोउ (@Mingjian_Zhou), और शुक्सियन जियांग |
| CVE-2017-0758 | चॉन्ग वांग और 金哲 (झे जिन), Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0752 | Palo Alto Networks के Cong Zheng (@shellcong), Wenjun Hu, Xiao Zhang, और Zhi Xu |
| CVE-2017-0801 | Dacheng Shao, Mingjian Zhou (@Mingjian_Zhou), और Xuxian Jiang, C0RE टीम |
| CVE-2017-0755 | Alibaba की मोबाइल सुरक्षा टीम के डेवई पेंग (weibo: Vinc3nt4H) |
| CVE-2017-0775, CVE-2017-0774, CVE-2017-0771 | Qihoo 360 Technology Co. Ltd. की Alpha Team के Elphet और Gong Guang |
| CVE-2017-0784 | MS509Team के सदस्य, ऐन हे (@heeeeen4x) और बो लू |
| CVE-2017-10997 | Gengjia Chen (@chengjia4574) और Qihoo 360 Technology Co. Ltd. के IceSword Lab के pjf. |
| CVE-2017-0786, CVE-2017-0792, CVE-2017-0791, CVE-2017-0790, CVE-2017-0789, CVE-2017-0788, CVE-2017-0787 | Qihoo 360 Technology Co. Ltd. की Alpha Team के हाओ चेन और गुआंग गोंग |
| CVE-2017-0802 | Shellphish Grill टीम के जेक कोरिना (@JakeCorina) |
| CVE-2017-0780 | Trend Micro के जेसन गु और सेवन शेन |
| CVE-2017-0769 | C0RE टीम के मिन्गजियन झोउ (@Mingjian_Zhou), डैचेंग शाओ, और जूशियन जियांग |
| CVE-2017-0794, CVE-2017-9720, CVE-2017-11001, CVE-2017-10999, CVE-2017-0766 | Baidu X-Lab (百度安全实验室) के पेंगफ़ेई डिंग (丁鹏飞), चेनफ़ू बाओ (包沉浮), और लेनक्स वेई (韦韬) |
| CVE-2017-0772 | Trend Micro के सेवन शेन |
| CVE-2017-0757 | वसीली वासिलिएव |
| CVE-2017-0768, CVE-2017-0779 | C0RE टीम के Wenke Dou, Mingjian Zhou (@Mingjian_Zhou), और Xuxian Jiang |
| CVE-2017-0759 | Alibaba Inc. के वेईचाओ सन |
| CVE-2017-0796 | Alibaba के मोबाइल सिक्योरिटी ग्रुप के ज़ियांगचियन जांग, चेनिमिंग यांग, बाओज़ेंग डिंग, और यांग सॉन्ग |
| CVE-2017-0753 | Qihoo360 Qex टीम के यांगकांग (@dnpushme) और हूजियनफ़ेई |
| CVE-2017-12146 | Qihoo 360 Technology Co. Ltd. के IceSword Lab में काम करने वाले @guoygang |
| CVE-2017-0767 | Tencent की Xuanwu Lab के यींगके वांग और यूबिन सन |
| CVE-2017-0804, CVE-2017-0803, CVE-2017-0799, CVE-2017-0795 | Qihoo 360 Technology Co. Ltd की Vulpecker टीम के यू पान और यांग दाई |
| CVE-2017-0760 | ज़िनू हान और 金哲 (झे जिन), Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd. |
| CVE-2017-0764, CVE-2017-0761, CVE-2017-0776, CVE-2017-0777, CVE-2017-0778 | Qihoo 360 Technology Co. Ltd. के चेंग्दू सिक्योरिटी रिस्पॉन्स सेंटर की ज़िनू हान |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, Pixel और Nexus डिवाइसों के अपडेट शेड्यूल पर दिए गए निर्देश पढ़ें.
- 01-09-2017 या उसके बाद के सुरक्षा पैच लेवल, 01-09-2017 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-09-2017 या उसके बाद के सिक्योरिटी पैच लेवल, 05-09-2017 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2017-09-01]
- [ro.build.version.security_patch]:[2017-09-05]
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-09-2017 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, पिछले सिक्योरिटी बुलेटिन में बताई गई सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए.
- जिन डिवाइसों में 05-09-2017 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें, इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के लिए, रेफ़रंस कॉलम में Android गड़बड़ी आईडी के बगल में * का निशान दिखता है. आम तौर पर, उस समस्या का अपडेट, Nexus डिवाइसों के लिए नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.
वर्शन
| वर्शन | तारीख | नोट |
|---|---|---|
| 1.0 | 5 सितंबर, 2017 | बुलेटिन पब्लिश हो गया. |
| 1.1 | 12 सितंबर, 2017 | इंडस्ट्री के साथ मिलकर जानकारी ज़ाहिर करने के तहत, CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, और CVE-2017-0785 के बारे में जानकारी जोड़ी गई. |
| 1.2 | 13 सितंबर, 2017 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया है. |
| 1.3 | 25 सितंबर, 2017 | इंडस्ट्री के साथ मिलकर जानकारी ज़ाहिर करने के तहत, CVE-2017-11120 और CVE-2017-11121 के बारे में जानकारी जोड़ी गई. |
| 1.4 | 28 सितंबर, 2017 | CVE-2017-11001 के लिए, वेंडर का रेफ़रंस अपडेट करें. |