पब्लिश करने की तारीख: 5 फ़रवरी, 2018 | अपडेट करने की तारीख: 2 अप्रैल, 2018
Android सुरक्षा बुलेटिन में, Android डिवाइसों पर असर डालने वाली सुरक्षा से जुड़ी जोखिम की जानकारी होती है. 05-02-2018 या इसके बाद के सुरक्षा पैच लेवल, इन सभी समस्याओं को हल करते हैं. किसी डिवाइस के सिक्योरिटी पैच लेवल को देखने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.
Android पार्टनर को पब्लिकेशन से कम से कम एक महीने पहले, सभी समस्याओं की सूचना दी जाती है. इन समस्याओं के लिए सोर्स कोड पैच, Android Open Source Project (AOSP) के डेटा स्टोर में रिलीज़ किए गए हैं. साथ ही, इन्हें इस बुलेटिन से लिंक किया गया है. इस सूचना में, AOSP के बाहर के पैच के लिंक भी शामिल हैं.
इनमें से सबसे गंभीर समस्या, Media Framework में सुरक्षा से जुड़ी एक गंभीर समस्या है. इसकी वजह से, रिमोट हैकर किसी खास तरह से तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है. गंभीरता का आकलन इस आधार पर किया जाता है कि किसी डिवाइस पर, कमज़ोरी का फ़ायदा उठाने से क्या असर पड़ सकता है. यह आकलन इस बात को ध्यान में रखकर किया जाता है कि डेवलपमेंट के मकसद से, प्लैटफ़ॉर्म और सेवा के लिए कमज़ोरी को कम करने वाले उपाय बंद किए गए हैं या नहीं. इसके अलावा, यह भी ध्यान में रखा जाता है कि कमज़ोरी को बायपास किया गया है या नहीं.
हमें ग्राहकों का शोषण करने या हाल ही में बताई गई इन समस्याओं का गलत इस्तेमाल करने के बारे में कोई शिकायत नहीं मिली है. Android प्लैटफ़ॉर्म की सुरक्षा से जुड़ी सुविधाओं और Google Play Protect के बारे में ज़्यादा जानने के लिए, Android और Google Play Protect से जुड़ी सुरक्षा से जुड़ी सुविधाओं वाले सेक्शन पर जाएं. इन सुविधाओं से Android प्लैटफ़ॉर्म की सुरक्षा को बेहतर बनाया जाता है.
ध्यान दें: Google डिवाइसों के लिए, फ़रवरी 2018 के Pixel / Nexus के सुरक्षा बुलेटिन में, ओवर-द-एयर अपडेट (ओटीए) और फ़र्मवेयर इमेज के बारे में नई जानकारी उपलब्ध है.
Android और Google की सेवाओं से जुड़ी समस्याओं को कम करना
इस लेख में, Android के सुरक्षा प्लैटफ़ॉर्म और Google Play Protect जैसी सेवाओं से जुड़ी सुरक्षा से जुड़ी सुविधाओं के बारे में बताया गया है. इन सुविधाओं की मदद से, Android पर सुरक्षा से जुड़ी कमजोरियों का इस्तेमाल करने की संभावना कम हो जाती है.
- Android प्लैटफ़ॉर्म के नए वर्शन में किए गए सुधारों की वजह से, Android पर कई समस्याओं का गलत इस्तेमाल करना मुश्किल हो गया है. हमारा सुझाव है कि सभी उपयोगकर्ता, जहां भी हो सके वहां Android के नए वर्शन पर अपडेट करें.
- Android की सुरक्षा टीम, Google Play Protect की मदद से, ऐप्लिकेशन के गलत इस्तेमाल पर नज़र रखती है. साथ ही, नुकसान पहुंचाने वाले ऐप्लिकेशन के बारे में उपयोगकर्ताओं को चेतावनी देती है. Google Mobile Services वाले डिवाइसों पर, Google Play Protect डिफ़ॉल्ट रूप से चालू रहता है. यह सुविधा, खास तौर पर उन उपयोगकर्ताओं के लिए ज़रूरी है जो Google Play के अलावा किसी और सोर्स से ऐप्लिकेशन इंस्टॉल करते हैं.
01-02-2018 का सिक्योरिटी पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी हर उस कमजोरी के बारे में जानकारी देते हैं जो 01-02-2018 के पैच लेवल पर लागू होती है. जोखिम, उस कॉम्पोनेंट के हिसाब से ग्रुप में बांट दिए जाते हैं जिस पर उनका असर पड़ता है. इसमें समस्या के बारे में जानकारी दी गई है. साथ ही, एक टेबल में CVE, उससे जुड़े रेफ़रंस, सुरक्षा के जोखिम का टाइप, गंभीरता, और अपडेट किए गए AOSP वर्शन (जहां लागू हो) की जानकारी दी गई है. जब उपलब्ध हो, तो हम उस सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं जिसकी वजह से समस्या हल हुई है. जैसे, AOSP में किए गए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो अतिरिक्त रेफ़रंस, गड़बड़ी के आईडी के बाद वाले नंबर से लिंक किए जाते हैं.
मीडिया फ़्रेमवर्क
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-13228 | A-69478425 | आरसीई | सबसे अहम | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13231 | A-67962232 | EoP | ज़्यादा | 8.0, 8.1 |
| CVE-2017-13232 | A-68953950 | आईडी | ज़्यादा | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13230 | A-65483665 | डीओएस | ज़्यादा | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| आरसीई | सबसे अहम | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13233 | A-62851602 | डीओएस | ज़्यादा | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13234 | A-68159767 | डीओएस | ज़्यादा | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
सिस्टम
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को ऐसे निर्देशों को लागू करने की अनुमति मिल सकती है जो आम तौर पर खास प्रोसेस के लिए ही सीमित होते हैं.
| CVE | रेफ़रंस | टाइप | गंभीरता | AOSP के अपडेट किए गए वर्शन |
|---|---|---|---|---|
| CVE-2017-13236 | A-68217699 [2] | EoP | काफ़ी हद तक ठीक है | 8.0, 8.1 |
05-02-2018 का सुरक्षा पैच लेवल—सुरक्षा से जुड़ी समस्या की जानकारी
यहां दिए गए सेक्शन में, हम सुरक्षा से जुड़ी उन सभी कमजोरियों के बारे में जानकारी देते हैं जो 05-02-2018 के पैच लेवल पर लागू होती हैं. जोखिम की संभावनाओं को उस कॉम्पोनेंट के तहत ग्रुप किया जाता है जिस पर उनका असर पड़ता है. इनमें CVE, उससे जुड़े रेफ़रंस, जोखिम की संभावना का टाइप, गंभीरता, कॉम्पोनेंट (जहां लागू हो), और अपडेट किए गए AOSP वर्शन (जहां लागू हो) जैसी जानकारी शामिल होती है. अगर उपलब्ध हो, तो हम समस्या को ठीक करने वाले सार्वजनिक बदलाव को बग आईडी से लिंक करते हैं. जैसे, AOSP में हुए बदलावों की सूची. जब एक ही गड़बड़ी से जुड़े कई बदलाव होते हैं, तो बग आईडी के बाद के नंबर से अतिरिक्त रेफ़रंस लिंक किए जाते हैं.
HTC के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर समस्या की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को डेटा का ऐक्सेस बिना अनुमति के मिल सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-13238 | A-64610940* | आईडी | ज़्यादा | बूटलोडर |
| CVE-2017-13247 | A-71486645* | EoP | काफ़ी हद तक ठीक है | बूटलोडर |
Kernel कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-15265 | A-67900971 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | ALSA |
| CVE-2015-9016 | A-63083046 अपस्ट्रीम कर्नेल |
EoP | ज़्यादा | मल्टी-क्यू ब्लॉक आईओ |
| CVE-2017-13273 | A-65853158* | EoP | ज़्यादा | कर्नेल |
NVIDIA के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, नुकसान पहुंचाने वाले किसी स्थानीय ऐप्लिकेशन को खास प्रोसेस के संदर्भ में, मनमुताबिक कोड चलाने की अनुमति मिल सकती है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-6279 | A-65023166* N-CVE-2017-6279 |
EoP | ज़्यादा | मीडिया फ़्रेमवर्क |
| CVE-2017-6258 | A-38027496* N-CVE-2017-6258 |
EoP | ज़्यादा | मीडिया फ़्रेमवर्क |
Qualcomm के कॉम्पोनेंट
इस सेक्शन में मौजूद सबसे गंभीर जोखिम की वजह से, रिमोट से हमला करने वाला व्यक्ति, खास तौर पर तैयार की गई फ़ाइल का इस्तेमाल करके, किसी खास प्रोसेस के संदर्भ में मनमुताबिक कोड चला सकता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-15860 | A-68992416 QC-CR#2082544 [2] |
आरसीई | सबसे अहम | वाई-फ़ाई |
| CVE-2017-11041 | A-35269676* QC-CR#2053101 |
EoP | ज़्यादा | मीडिया फ़्रेमवर्क |
| CVE-2017-17767 | A-64750179* QC-CR#2115779 |
EoP | ज़्यादा | मीडिया फ़्रेमवर्क |
| CVE-2017-17765 | A-68992445 QC-CR#2115112 |
EoP | ज़्यादा | वाई-फ़ाई |
| CVE-2017-15862 | A-68992439 QC-CR#2114426 |
EoP | ज़्यादा | वाई-फ़ाई |
| CVE-2017-14884 | A-68992429 QC-CR#2113052 |
EoP | ज़्यादा | वाई-फ़ाई |
| CVE-2017-15829 | A-68992397 QC-CR#2097917 |
EoP | ज़्यादा | Graphics_Linux |
| CVE-2017-15820 | A-68992396 QC-CR#2093377 |
EoP | ज़्यादा | Graphics_Linux |
| CVE-2017-17764 | A-68992443 QC-CR#2114789 |
EoP | ज़्यादा | वाई-फ़ाई |
| CVE-2017-15861 | A-68992434 QC-CR#2114187 |
EoP | ज़्यादा | वाई-फ़ाई |
Qualcomm के क्लोज़्ड सोर्स कॉम्पोनेंट
इन समस्याओं का असर Qualcomm के कॉम्पोनेंट पर पड़ता है. इनके बारे में ज़्यादा जानकारी, Qualcomm AMSS के सुरक्षा बुलेटिन या सुरक्षा से जुड़ी चेतावनी में दी गई है. इन समस्याओं की गंभीरता का आकलन, सीधे तौर पर Qualcomm करता है.
| CVE | रेफ़रंस | टाइप | गंभीरता | कॉम्पोनेंट |
|---|---|---|---|---|
| CVE-2017-14910 | A-62212114* | लागू नहीं | ज़्यादा | क्लोज़्ड-सोर्स कॉम्पोनेंट |
आम तौर पर पूछे जाने वाले सवाल और उनके जवाब
इस सेक्शन में, इस सूचना को पढ़ने के बाद पूछे जाने वाले आम सवालों के जवाब दिए गए हैं.
1. मुझे कैसे पता चलेगा कि मेरे डिवाइस को इन समस्याओं को ठीक करने के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच लेवल की जांच करने का तरीका जानने के लिए, अपना Android वर्शन देखना और अपडेट करना लेख पढ़ें.
- 01-02-2018 या उसके बाद के सुरक्षा पैच लेवल, 01-02-2018 के सुरक्षा पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
- 05-02-2018 या उसके बाद के सिक्योरिटी पैच लेवल, 05-02-2018 के सिक्योरिटी पैच लेवल और सभी पिछले पैच लेवल से जुड़ी सभी समस्याओं को हल करते हैं.
जिन डिवाइस मैन्युफ़ैक्चरर ने ये अपडेट शामिल किए हैं उन्हें पैच स्ट्रिंग के लेवल को इन पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2018-02-01]
- [ro.build.version.security_patch]:[2018-02-05]
2. इस सूचना में, सुरक्षा पैच के दो लेवल क्यों हैं?
इस बुलेटिन में सुरक्षा पैच के दो लेवल हैं, ताकि Android पार्टनर, सभी Android डिवाइसों में मौजूद कमज़ोरियों के सबसेट को तेज़ी से ठीक कर सकें. Android पार्टनर को इस सूचना में बताई गई सभी समस्याओं को ठीक करने और सुरक्षा पैच के नए लेवल का इस्तेमाल करने का सुझाव दिया जाता है.
- जिन डिवाइसों में 01-02-2018 के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें उस सिक्योरिटी पैच लेवल से जुड़ी सभी समस्याएं शामिल होनी चाहिए. साथ ही, उनमें उन सभी समस्याओं के लिए ठीक किए गए वर्शन भी शामिल होने चाहिए जिनकी शिकायत, पिछले सिक्योरिटी बुलेटिन में की गई थी.
- जिन डिवाइसों में 05-02-2018 या उसके बाद के सिक्योरिटी पैच लेवल का इस्तेमाल किया जाता है उनमें इस और पिछले सिक्योरिटी बुलेटिन में बताए गए सभी लागू पैच शामिल होने चाहिए.
हमारा सुझाव है कि पार्टनर, एक ही अपडेट में उन सभी समस्याओं को ठीक करने के लिए सुधारों को बंडल करें जिन्हें वे ठीक कर रहे हैं.
3. टाइप कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के टाइप कॉलम में मौजूद एंट्री, सुरक्षा से जुड़े जोखिम की कैटगरी के बारे में बताती हैं.
| संक्षेपण | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड को चलाना |
| EoP | प्रिविलेज एस्कलेशन |
| आईडी | जानकारी ज़ाहिर करना |
| डीओएस | सेवा में रुकावट |
| लागू नहीं | क्लासिफ़िकेशन उपलब्ध नहीं है |
4. रेफ़रंस कॉलम में मौजूद एंट्री का क्या मतलब है?
जोखिम की जानकारी वाली टेबल के रेफ़रंस कॉलम में मौजूद एंट्री में, उस संगठन की पहचान करने वाला प्रीफ़िक्स शामिल हो सकता है जिससे रेफ़रंस वैल्यू जुड़ी है.
| प्रीफ़िक्स | रेफ़रंस |
|---|---|
| A- | Android गड़बड़ी का आईडी |
| QC- | Qualcomm का रेफ़रंस नंबर |
| M- | MediaTek का रेफ़रंस नंबर |
| N- | NVIDIA का रेफ़रंस नंबर |
| B- | Broadcom का रेफ़रंस नंबर |
5. रेफ़रंस कॉलम में, Android बग आईडी के बगल में मौजूद * का क्या मतलब है?
सार्वजनिक तौर पर उपलब्ध न होने वाली समस्याओं के लिए, रेफ़रंस कॉलम में Android गड़बड़ी आईडी के बगल में * का निशान दिखता है. आम तौर पर, उस समस्या का अपडेट, Nexus डिवाइसों के लिए नए बाइनरी ड्राइवर में होता है. ये ड्राइवर, Google Developer साइट पर उपलब्ध होते हैं.
6. सुरक्षा से जुड़ी समस्याओं को इस बुलेटिन और डिवाइस/पार्टनर के सुरक्षा बुलेटिन, जैसे कि Pixel / Nexus बुलेटिन के बीच क्यों बांटा जाता है?
Android डिवाइसों पर सिक्योरिटी पैच के नए लेवल का एलान करने के लिए, इस सुरक्षा बुलेटिन में दी गई सुरक्षा से जुड़ी जोखिमियों की जानकारी ज़रूरी है. सुरक्षा पैच लेवल का एलान करने के लिए, डिवाइस/पार्टनर के सिक्योरिटी बुलेटिन में बताई गई सुरक्षा से जुड़ी अन्य कमजोरियों की जानकारी देना ज़रूरी नहीं है. Android डिवाइस और चिपसेट बनाने वाली कंपनियों को अपनी सुरक्षा वेबसाइटों के ज़रिए, अपने डिवाइसों पर मौजूद अन्य समस्याओं के हल के बारे में बताने का सुझाव दिया जाता है. जैसे, Samsung, LGE या Pixel / Nexus की सुरक्षा से जुड़े बुलेटिन.
वर्शन
| वर्शन | तारीख | अहम जानकारी |
|---|---|---|
| 1.0 | 5 फ़रवरी, 2018 | बुलेटिन पब्लिश हो गया. |
| 1.1 | 7 फ़रवरी, 2018 | AOSP लिंक शामिल करने के लिए, बुलेटिन में बदलाव किया गया. |
| 1.2 | 14 फ़रवरी, 2018 | CVE-2017-13273, CVE-2017-15860, CVE-2017-15861, और CVE-2017-15862 के लिए CVE नंबर ठीक किए गए. |
| 1.3 | 2 अप्रैल, 2018 | CVE-2017-15817 को फ़रवरी के Android बुलेटिन से, फ़रवरी के Pixel बुलेटिन में ले जाया गया. |