Android सुरक्षा बुलेटिन—सितंबर 2017

5 सितंबर, 2017 को प्रकाशित | 5 अक्टूबर, 2017 को अपडेट किया गया

Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण होता है। 05 सितंबर, 2017 या बाद के सुरक्षा पैच स्तर इन सभी मुद्दों को संबोधित करते हैं। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए पिक्सेल और नेक्सस अपडेट शेड्यूल देखें।

भागीदारों को कम से कम एक महीने पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपोजिटरी में जारी किए गए हैं और इस बुलेटिन से जुड़े हुए हैं। इस बुलेटिन में एओएसपी के बाहर पैच के लिंक भी शामिल हैं।

इन मुद्दों में सबसे गंभीर मीडिया ढांचे में एक गंभीर गंभीरता भेद्यता है जो एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या सफलतापूर्वक बायपास कर दिया गया है।

हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। Android सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए Android और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो Android प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।

हम सभी ग्राहकों को इन अपडेट को अपने उपकरणों पर स्वीकार करने के लिए प्रोत्साहित करते हैं।

नोट: Google डिवाइस के लिए नवीनतम ओवर-द-एयर अपडेट (OTA) और फ़र्मवेयर इमेज की जानकारी Google डिवाइस अपडेट सेक्शन में उपलब्ध है।

घोषणाओं

  • इस बुलेटिन में दो सुरक्षा पैच स्तर के तार हैं जो सभी Android उपकरणों में समान कमजोरियों के सबसेट को अधिक तेज़ी से ठीक करने के लिए Android भागीदारों को लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
    • 2017-09-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-09-01 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
    • 2017-09-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-09-01 और 2017-09-05 (और सभी पिछले सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।

Android और Google सेवा में कमी

यह Android सुरक्षा प्लेटफ़ॉर्म और Google Play Protect जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि Android पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।

  • एंड्रॉइड प्लेटफॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, Android के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
  • एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play Protect के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play Protect Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम होता है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।

2017-09-01 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो वे प्रभावित करते हैं। समस्या का विवरण और सीवीई, संबंधित संदर्भ, भेद्यता के प्रकार , गंभीरता , और अद्यतन एओएसपी संस्करण (जहां लागू हो) के साथ एक तालिका है। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

रूपरेखा

इस खंड में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को अतिरिक्त अनुमतियों तक पहुंच प्राप्त करने के लिए उपयोगकर्ता इंटरैक्शन आवश्यकताओं को बायपास करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0752 ए-62196835 [ 2 ] ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

पुस्तकालयों

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को एक गैर-विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0753 ए-62218744 आरसीई उच्च 7.1.1, 7.1.2, 8.0
सीवीई-2017-6983 ए-63852675 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0755 ए-32178311 ईओपी उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

मीडिया फ्रेमवर्क

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0756 ए-34621073 आरसीई नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0757 ए-36006815 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0758 ए-36492741 आरसीई नाजुक 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0759 ए-36715268 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0760 ए-37237396 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0761 ए-38448381 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0762 ए-62214264 आरसीई नाजुक 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0763 ए-62534693 आरसीई नाजुक 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0764 ए-62872015 आरसीई नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0765 ए-62872863 आरसीई नाजुक 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0766 ए-37776688 आरसीई उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0767 ए-37536407 [ 2 ] ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0768 ए-6209992 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0769 ए-37662122 ईओपी उच्च 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0770 ए-38234812 ईओपी उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0771 ए-37624243 करने योग्य उच्च 7.0, 7.1.1, 7.1.2
सीवीई-2017-0772 ए-38115076 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0773 ए-37615911 करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0774 ए-62673844 [ 2 ] करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0775 ए-62673179 करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0776 ए-38496660 पहचान संतुलित 7.0, 7.1.1, 7.1.2, 8.0
करने योग्य उच्च 6.0.1
सीवीई-2017-0777 ए-38342499 पहचान संतुलित 7.0, 7.1.1, 7.1.2
करने योग्य उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1
सीवीई-2017-0778 ए-62133227 पहचान संतुलित 7.0, 7.1.1, 7.1.2
करने योग्य उच्च 5.0.2, 5.1.1, 6.0, 6.0.1
सीवीई-2017-0779 ए-38340117 [ 2 ] पहचान संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2

क्रम

इस खंड में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके किसी एप्लिकेशन को हैंग करने के लिए सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0780 ए-37742976 करने योग्य उच्च 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

व्यवस्था

इस खंड में सबसे गंभीर भेद्यता एक निकटवर्ती हमलावर को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अपडेट किया गया एओएसपी संस्करण
सीवीई-2017-0781 ए-63146105 [ 2 ] आरसीई नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0782 ए-63146237 [ 2 ] [ 3 ] आरसीई नाजुक 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0783 ए-63145701 पहचान उच्च 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
सीवीई-2017-0784 ए-37287958 ईओपी संतुलित 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2
सीवीई-2017-0785 ए-63146698 पहचान संतुलित 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

2017-09-05 सुरक्षा पैच स्तर—भेद्यता विवरण

नीचे दिए गए अनुभागों में, हम 2017-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा भेद्यता के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत समूहीकृत किया जाता है जो वे प्रभावित करते हैं और इसमें सीवीई, संबंधित संदर्भ, भेद्यता के प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को जोड़ते हैं जिसने समस्या को बग आईडी से संबोधित किया, जैसे AOSP परिवर्तन सूची। जब एक से अधिक परिवर्तन एक बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद की संख्याओं से जुड़े होते हैं।

ब्रॉडकॉम घटक

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक निकटवर्ती हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-11120 ए-62575409 *
बी-वी2017061204
आरसीई नाजुक वाई-फाई ड्राइवर
सीवीई-2017-11121 ए-62576413 *
बी-वी2017061205
आरसीई नाजुक वाई-फाई ड्राइवर
सीवीई-2017-7065 ए-62575138 *
बी-वी2017061202
आरसीई नाजुक वाई-फाई ड्राइवर
सीवीई-2017-0786 ए-37351060 *
बी-वी2017060101
ईओपी उच्च वाई-फाई ड्राइवर
सीवीई-2017-0787 ए-37722970 *
बी-वी2017053104
ईओपी संतुलित वाई-फाई ड्राइवर
सीवीई-2017-0788 ए-37722328 *
बी-वी2017053103
ईओपी संतुलित वाई-फाई ड्राइवर
सीवीई-2017-0789 ए-37685267 *
बी-वी2017053102
ईओपी संतुलित वाई-फाई ड्राइवर
सीवीई-2017-0790 ए-37357704 *
बी-वी2017053101
ईओपी संतुलित वाई-फाई ड्राइवर
सीवीई-2017-0791 ए-37306719 *
बी-वी2017052302
ईओपी संतुलित वाई-फाई ड्राइवर
सीवीई-2017-0792 ए-37305578 *
बी-वी2017052301
पहचान संतुलित वाई-फाई ड्राइवर

आईएमजीटीके घटक

इस खंड में सबसे गंभीर भेद्यता स्थानीय दुर्भावनापूर्ण एप्लिकेशन को इसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-0793 ए-35764946 * पहचान उच्च मेमोरी सबसिस्टम

कर्नेल घटक

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-8890 ए-38413975
अपस्ट्रीम कर्नेल
आरसीई नाजुक नेटवर्किंग सबसिस्टम
सीवीई-2017-9076 ए-62299478
अपस्ट्रीम कर्नेल
ईओपी उच्च नेटवर्किंग सबसिस्टम
सीवीई-2017-9150 ए-62199770
अपस्ट्रीम कर्नेल
पहचान उच्च लिनक्स कर्नेल
सीवीई-2017-7487 ए-62070688
अपस्ट्रीम कर्नेल
ईओपी उच्च IPX प्रोटोकॉल ड्राइवर
सीवीई-2017-6214 ए-37901268
अपस्ट्रीम कर्नेल
करने योग्य उच्च नेटवर्किंग सबसिस्टम
सीवीई-2017-6346 ए-37897645
अपस्ट्रीम कर्नेल
ईओपी उच्च लिनक्स कर्नेल
सीवीई-2017-5897 ए-37871211
अपस्ट्रीम कर्नेल
पहचान उच्च नेटवर्किंग सबसिस्टम
सीवीई-2017-7495 ए-62198330
अपस्ट्रीम कर्नेल
पहचान उच्च फाइल सिस्टम
सीवीई-2017-7616 ए-37751399
अपस्ट्रीम कर्नेल
पहचान संतुलित लिनक्स कर्नेल
सीवीई-2017-12146 ए-35676417
अपस्ट्रीम कर्नेल
ईओपी संतुलित लिनक्स कर्नेल
सीवीई-2017-0794 ए-35644812 * ईओपी संतुलित एससीएसआई चालक

मीडियाटेक घटक

इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-0795 ए-36198473 *
एम-एएलपीएस03361480
ईओपी उच्च एक्सेसरी डिटेक्टर ड्राइवर
सीवीई-2017-0796 ए-62458865 *
एम-एएलपीएस03353884
एम-एएलपीएस03353886
एम-एएलपीएस03353887
ईओपी उच्च AUXADC ड्राइवर
सीवीई-2017-0797 ए-62459766 *
एम-एएलपीएस03353854
ईओपी उच्च एक्सेसरी डिटेक्टर ड्राइवर
सीवीई-2017-0798 ए-36100671 *
एम-एएलपीएस03365532
ईओपी उच्च गुठली
सीवीई-2017-0799 ए-36731602 *
एम-एएलपीएस03342072
ईओपी उच्च लास्टबस
सीवीई-2017-0800 ए-37683975 *
एम-ALPS03302988
ईओपी उच्च टीईईआई
सीवीई-2017-0801 ए-38447970 *
एम-एएलपीएस03337980
ईओपी उच्च LibMtkOmxVdec
सीवीई-2017-0802 ए-36232120 *
एम-एएलपीएस03384818
ईओपी संतुलित गुठली
सीवीई-2017-0803 ए-36136137 *
एम-एएलपीएस03361477
ईओपी संतुलित एक्सेसरी डिटेक्टर ड्राइवर
सीवीई-2017-0804 ए-36274676 *
एम-एएलपीएस03361487
ईओपी संतुलित एमएमसी चालक

क्वालकॉम घटक

इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक दूरस्थ हमलावर को सक्षम कर सकती है।

सीवीई संदर्भ टाइप तीव्रता अवयव
सीवीई-2017-11041 ए-36130225 *
क्यूसी-सीआर#2053101
आरसीई नाजुक LibOmxVenc
सीवीई-2017-10996 ए-38198574
क्यूसी-सीआर#901529
पहचान उच्च लिनक्स कर्नेल
सीवीई-2017-9725 ए-38195738
क्यूसी-सीआर#896659
ईओपी उच्च मेमोरी सबसिस्टम
सीवीई-2017-9724 ए-38196929
क्यूसी-सीआर#863303
ईओपी उच्च लिनक्स कर्नेल
सीवीई-2017-8278 ए-62379474
क्यूसी-सीआर#2013236
ईओपी उच्च ऑडियो ड्राइवर
सीवीई-2017-10999 ए-36490777 *
क्यूसी-सीआर#2010713
ईओपी संतुलित आईपीए चालक
सीवीई-2017-11001 ए-36815555 *
क्यूसी-सीआर#2051433
पहचान संतुलित वाई-फाई ड्राइवर
सीवीई-2017-11002 ए-37712167 *
क्यूसी-सीआर#2058452 क्यूसी-सीआर#2054690 क्यूसी-सीआर#2058455
पहचान संतुलित वाई-फाई ड्राइवर
सीवीई-2017-8250 ए-62379051
क्यूसी-सीआर#2003924
ईओपी संतुलित GPU ड्राइवर
सीवीई-2017-9677 ए-62379475
क्यूसी-सीआर#2022953
ईओपी संतुलित ऑडियो ड्राइवर
सीवीई-2017-10998 ए-38195131
क्यूसी-सीआर#108461
ईओपी संतुलित ऑडियो ड्राइवर
सीवीई-2017-9676 ए-62378596
क्यूसी-सीआर#2016517
पहचान संतुलित फाइल सिस्टम
सीवीई-2017-8280 ए-62377236
क्यूसी-सीआर#2015858
ईओपी संतुलित WLAN ड्राइवर
सीवीई-2017-8251 ए-62379525
क्यूसी-सीआर#2006015
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-10997 ए-33039685 *
क्यूसी-सीआर#1103077
ईओपी संतुलित पीसीआई चालक
सीवीई-2017-11000 ए-36136563 *
क्यूसी-सीआर#2031677
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-8247 ए-62378684
क्यूसी-सीआर#2023513
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-9720 ए-36264696 *
क्यूसी-सीआर#2041066
ईओपी संतुलित कैमरा ड्राइवर
सीवीई-2017-8277 ए-62378788
क्यूसी-सीआर#2009047
ईओपी संतुलित वीडियो ड्राइवर
सीवीई-2017-8281 ए-62378232
क्यूसी-सीआर#2015892
पहचान संतुलित ऑटोमोटिव मल्टीमीडिया
सीवीई-2017-11040 ए-37567102 *
क्यूसी-सीआर#2038166
पहचान संतुलित वीडियो ड्राइवर

Google डिवाइस अपडेट

इस तालिका में नवीनतम ओवर-द-एयर अपडेट (OTA) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां शामिल हैं। Google डिवाइस OTA में अतिरिक्त अपडेट भी हो सकते हैं। Google डिवाइस फ़र्मवेयर छवियां Google डेवलपर साइट पर उपलब्ध हैं।

गूगल डिवाइस सुरक्षा पैच स्तर
पिक्सेल / पिक्सेल XL 2017-09-05
नेक्सस 5X 2017-09-05
नेक्सस 6 2017-09-05
नेक्सस 6पी 2017-09-05
नेक्सस 9 2017-09-05
नेक्सस प्लेयर 2017-09-05
पिक्सेल सी 2017-09-05

स्वीकृतियाँ

हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहते हैं:

सीवीई शोधकर्ताओं
सीवीई-2017-11000 बाओज़ेंग डिंग ( @sploving ), चेंगमिंग यांग, और अलीबाबा मोबाइल सुरक्षा समूह के यांग सॉन्ग
सीवीई-2017-0781, सीवीई-2017-0782, सीवीई-2017-0783, सीवीई-2017-0785 आर्मिस, इंक. के बेन सेरी और ग्रेगरी विस्नेपोलस्की ( https://armis.com )
सीवीई-2017-0800, सीवीई-2017-0798 अलीबाबा मोबाइल सुरक्षा समूह के चेंगमिंग यांग, बाओज़ेंग डिंग और यांग सॉन्ग
सीवीई-2017-0765 ची झांग , मिंगजियान झोउ ( @Mingjian_Zhou ), और C0RE टीम के जुक्सियन जियांग
सीवीई-2017-0758 चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के चोंग वांग और 金哲 (झे जिन)।
सीवीई-2017-0752 पालो ऑल्टो नेटवर्क के कांग झेंग ( @shellcong ), वेंजुन हू, जिओ झांग और झी जू
सीवीई-2017-0801 दचेंग शाओ , मिंगजियान झोउ ( @Mingjian_Zhou ), और C0RE टीम के जुक्सियन जियांग
सीवीई-2017-0755 अलीबाबा मोबाइल सुरक्षा टीम के दावेई पेंग ( वीबो: Vinc3nt4H )
सीवीई-2017-0775, सीवीई-2017-0774, सीवीई-2017-0771 अल्फा टीम के एल्फेट और गोंग गुआंग, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड।
सीवीई-2017-0784 En He ( @ heeeeen4x ) और MS509Team के बो लियू
सीवीई-2017-10997 गेंगजिया चेन ( @chengjia4574 ) और IceSword Lab, Qihoo 360 Technology Co. Ltd.
सीवीई-2017-0786, सीवीई-2017-0792, सीवीई-2017-0791, सीवीई-2017-0790, सीवीई-2017-0789, सीवीई-2017-0788, सीवीई-2017-0787 अल्फा टीम के हाओ चेन और गुआंग गोंग, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड।
सीवीई-2017-0802 शेलफिश ग्रिल टीम के जेक कोरिना ( @JakeCorina )
सीवीई-2017-0780 ट्रेंड माइक्रो के जेसन गु और सेवन शेन
सीवीई-2017-0769 मिंगजियान झोउ ( @Mingjian_Zhou ), दचेंग शाओ , और C0RE टीम के जुक्सियन जियांग
सीवीई-2017-0794, सीवीई-2017-9720, सीवीई-2017-11001, सीवीई-2017-10999, सीवीई-2017-0766 पेंगफेई डिंग (丁鹏飞), चेनफू बाओ (包沉浮), Baidu एक्स-लैब (百度安全实验室) के लेनक्स वेई (韦韬)
सीवीई-2017-0772 ट्रेंड माइक्रो के सेवन शेन
सीवीई-2017-0757 वसीली वासिलीव
सीवीई-2017-0768, सीवीई-2017-0779 वेन्के डू , मिंगजियान झोउ ( @Mingjian_Zhou ), और C0RE टीम के जुक्सियन जियांग
सीवीई-2017-0759 अलीबाबा इंक के वीचाओ सन
सीवीई-2017-0796 जियांगकियान झांग, चेंगमिंग यांग, बाओज़ेंग डिंग, और अलीबाबा मोबाइल सुरक्षा समूह के यांग सॉन्ग
सीवीई-2017-0753 यांगकांग ( @dnpushme ) और Qihoo360 Qex टीम के हुजियानफेई
सीवीई-2017-12146 IceSword लैब के योंगगैंग गुओ ( @guoygang ), Qihoo 360 Technology Co. Ltd.
सीवीई-2017-0767 Tencent के Xuanwu Lab . के योंगके वांग और यूबिन सन
सीवीई-2017-0804, सीवीई-2017-0803, सीवीई-2017-0799, सीवीई-2017-0795 वुलपेकर टीम के यू पैन और यांग दाई , किहू 360 टेक्नोलॉजी कंपनी लिमिटेड
सीवीई-2017-0760 चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान और 金哲 (ज़े जिन)।
सीवीई-2017-0764, सीवीई-2017-0761, सीवीई-2017-0776, सीवीई-2017-0777, सीवीई-2017-0778 चेंगदू सुरक्षा प्रतिक्रिया केंद्र, किहू 360 टेक्नोलॉजी कंपनी लिमिटेड के ज़िनुओ हान

सामान्य प्रश्न और उत्तर

यह खंड उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।

1. मैं कैसे निर्धारित करूं कि इन समस्याओं को दूर करने के लिए मेरा डिवाइस अपडेट किया गया है या नहीं?

डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल पर दिए गए निर्देशों को पढ़ें।

  • 2017-09-01 या बाद के सुरक्षा पैच स्तर 2017-09-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
  • 2017-09-05 या बाद के सुरक्षा पैच स्तर 2017-09-05 सुरक्षा पैच स्तर और पिछले सभी पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।

इन अद्यतनों को शामिल करने वाले डिवाइस निर्माताओं को पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:

  • [ro.build.version.security_patch]:[2017-09-01]
  • [ro.build.version.security_patch]:[2017-09-05]

2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?

इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि Android भागीदारों के पास कमजोरियों के एक सबसेट को ठीक करने की सुविधा हो जो सभी Android उपकरणों में अधिक तेज़ी से समान हो। Android भागीदारों को इस बुलेटिन में सभी समस्याओं को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।

  • 2017-09-01 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट की गई सभी समस्याओं के समाधान शामिल होने चाहिए।
  • 2017-09-05 या नए के सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।

भागीदारों को उन सभी समस्याओं के समाधान को बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे एक ही अद्यतन में संबोधित कर रहे हैं।

3. टाइप कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।

संक्षेपाक्षर परिभाषा
आरसीई रिमोट कोड निष्पादन
ईओपी विशेषाधिकार का उन्नयन
पहचान जानकारी प्रकटीकरण
करने योग्य सेवा की मनाई
एन/ए वर्गीकरण उपलब्ध नहीं है

4. सन्दर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?

भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।

उपसर्ग संदर्भ
ए- एंड्रॉइड बग आईडी
क्यूसी- क्वालकॉम संदर्भ संख्या
एम- मीडियाटेक संदर्भ संख्या
एन- NVIDIA संदर्भ संख्या
बी- ब्रॉडकॉम संदर्भ संख्या

5. संदर्भ कॉलम में Android बग आईडी के आगे * का क्या अर्थ है?

जो समस्याएं सार्वजनिक रूप से उपलब्ध नहीं हैं उनमें संदर्भ कॉलम में Android बग आईडी के आगे एक * होता है। उस समस्या के लिए अद्यतन आम तौर पर Google डेवलपर साइट से उपलब्ध Nexus उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।

संस्करणों

संस्करण दिनांक टिप्पणियाँ
1.0 5 सितंबर, 2017 बुलेटिन प्रकाशित हो चुकी है।.
1.1 12 सितंबर, 2017 उद्योग-समन्वित प्रकटीकरण के हिस्से के रूप में सीवीई-2017-0781, सीवीई-2017-0782, सीवीई-2017-0783, और सीवीई-2017-0785 के लिए जोड़ा गया विवरण।
1.2 13 सितंबर, 2017 AOSP लिंक्स को शामिल करने के लिए बुलेटिन में संशोधन किया गया।
1.3 25 सितंबर, 2017 उद्योग-समन्वित प्रकटीकरण के भाग के रूप में CVE-2017-11120 और CVE-2017-11121 के लिए जोड़ा गया विवरण।
1.4 28 सितंबर, 2017 CVE-2017-11001 के लिए विक्रेता संदर्भ अपडेट करें।