3 सितंबर 2019 को प्रकाशित | 5 सितंबर, 2019 को अपडेट किया गया
एंड्रॉइड सुरक्षा बुलेटिन में एंड्रॉइड डिवाइसों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण शामिल है। 2019-09-05 या उसके बाद के सुरक्षा पैच स्तर इन सभी मुद्दों का समाधान करते हैं। किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपने Android संस्करण की जांच करें और अपडेट करें देखें।
एंड्रॉइड भागीदारों को प्रकाशन से कम से कम एक महीने पहले सभी मुद्दों के बारे में सूचित किया जाता है। इन मुद्दों के लिए सोर्स कोड पैच एंड्रॉइड ओपन सोर्स प्रोजेक्ट (एओएसपी) रिपॉजिटरी में जारी किए गए हैं और इस बुलेटिन से लिंक किए गए हैं। इस बुलेटिन में AOSP के बाहर के पैच के लिंक भी शामिल हैं।
इन मुद्दों में सबसे गंभीर मीडिया फ्रेमवर्क घटक में एक महत्वपूर्ण सुरक्षा भेद्यता है जो एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकता है। गंभीरता का मूल्यांकन उस प्रभाव पर आधारित है जो भेद्यता का शोषण संभवतः प्रभावित डिवाइस पर होगा, यह मानते हुए कि प्लेटफ़ॉर्म और सेवा शमन को विकास उद्देश्यों के लिए बंद कर दिया गया है या यदि सफलतापूर्वक बायपास किया गया है।
हमारे पास सक्रिय ग्राहक शोषण या इन नए रिपोर्ट किए गए मुद्दों के दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट शमन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
Android और Google सेवा शमन
यह एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म और Google Play प्रोटेक्ट जैसी सेवा सुरक्षा द्वारा प्रदान किए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम कर देती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक फायदा उठाया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में संवर्द्धन द्वारा एंड्रॉइड पर कई मुद्दों का शोषण और अधिक कठिन बना दिया गया है। हम सभी उपयोगकर्ताओं को जहां संभव हो, एंड्रॉइड के नवीनतम संस्करण में अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम सक्रिय रूप से Google Play प्रोटेक्ट के माध्यम से दुरुपयोग की निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक एप्लिकेशन के बारे में चेतावनी देती है। Google Play प्रोटेक्ट Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और यह उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से ऐप्स इंस्टॉल करते हैं।
2019-09-01 सुरक्षा पैच स्तर भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2019-09-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उस घटक के अंतर्गत समूहीकृत किया जाता है जिसे वे प्रभावित करती हैं। मुद्दों का वर्णन नीचे दी गई तालिकाओं में किया गया है और इसमें सीवीई आईडी, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन एओएसपी संस्करण (जहां लागू हो) शामिल हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
रूपरेखा
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2019-2123 | ए-34175893 [ 2 ] [ 3 ] [ 4 ] | ईओपी | उच्च | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| सीवीई-2019-2174 | ए-132927376 | ईओपी | उच्च | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| सीवीई-2019-2175 | ए-135551349 | ईओपी | उच्च | 9 |
| सीवीई-2019-9254 | ए-130164289 | ईओपी | उच्च | 10 |
| सीवीई-2019-2103 | ए-120610669 [ 2 ] | पहचान | उच्च | 9 |
मीडिया ढाँचा
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2019-2176 | ए-134420911 | आरसीई | गंभीर | 8.0, 8.1, 9 |
| सीवीई-2019-2108 | ए-130025324 | आरसीई | गंभीर | 10 |
प्रणाली
इस अनुभाग में सबसे गंभीर भेद्यता एक दूरस्थ हमलावर को एक विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाने कोड को निष्पादित करने के लिए विशेष रूप से तैयार किए गए ट्रांसमिशन का उपयोग करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अद्यतन AOSP संस्करण |
|---|---|---|---|---|
| सीवीई-2019-2177 | ए-132456322 | आरसीई | उच्च | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| सीवीई-2019-2115 | ए-129768470 [ 2 ] | ईओपी | उच्च | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| सीवीई-2019-2178 | ए-124462242 | ईओपी | उच्च | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| सीवीई-2019-2179 | ए-126200054 | पहचान | उच्च | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| सीवीई-2019-2180 | ए-110899492 | पहचान | उच्च | 8.0, 8.1, 9 |
| सीवीई-2019-2124 | ए-127320867 [ 2 ] [ 3 ] | पहचान | उच्च | 7.1.1, 7.1.2, 8.0, 8.1, 9 |
2019-09-05 सुरक्षा पैच स्तर भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2019-09-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों का विवरण प्रदान करते हैं। कमजोरियों को उनके द्वारा प्रभावित घटक के अंतर्गत समूहीकृत किया जाता है और इसमें सीवीई, संबंधित संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल होते हैं। उपलब्ध होने पर, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं जिसने समस्या को बग आईडी से संबोधित किया है, जैसे कि एओएसपी परिवर्तन सूची। जब एकाधिक परिवर्तन एक ही बग से संबंधित होते हैं, तो अतिरिक्त संदर्भ बग आईडी के बाद वाले नंबरों से जुड़े होते हैं।
कर्नेल घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2018-20669 | ए-135368228 * | ईओपी | उच्च | i915 ड्राइवर |
| सीवीई-2019-2181 | ए-130571081 अपस्ट्रीम कर्नेल | ईओपी | उच्च | बाइंडर ड्राइवर |
एनवीडिया घटक
इस अनुभाग में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को विशेषाधिकार प्राप्त प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2018-6240 | ए-72315181 * | ईओपी | उच्च | बूटरोम |
| सीवीई-2018-6240 | ए-110169243 * | ईओपी | उच्च | बूटरोम |
| सीवीई-2017-5715 | ए-73294344 * | पहचान | उच्च | एआरएम विश्वसनीय फर्मवेयर |
क्वालकॉम घटक
ये कमजोरियाँ क्वालकॉम घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा चेतावनी में आगे विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2017-17768 | ए-67748905 क्यूसी-सीआर#2127172 | एन/ए | उच्च | एलके बूटलोडर |
| सीवीई-2019-2283 | ए-127513124 क्यूसी-सीआर#2355425 | एन/ए | उच्च | गुठली |
| सीवीई-2019-2316 | ए-129848922 क्यूसी-सीआर#2358397 | एन/ए | उच्च | एचएलओएस |
| सीवीई-2019-10491 | ए-132171785 क्यूसी-सीआर#2380709 [ 2 ] | एन/ए | उच्च | ऑडियो |
| सीवीई-2019-10505 | ए-123533258 क्यूसी-सीआर#2231755 | एन/ए | उच्च | डब्लूएलएएन होस्ट |
| सीवीई-2019-10505 | ए-132171579 क्यूसी-सीआर#2246426 | एन/ए | उच्च | डब्लूएलएएन होस्ट |
| सीवीई-2019-2323 | ए-132173424 क्यूसी-सीआर#2370589 | एन/ए | उच्च | एचएलओएस |
| सीवीई-2019-2324 | ए-132173296 क्यूसी-सीआर#2372292 | एन/ए | उच्च | ऑडियो |
| सीवीई-2019-2325 | ए-132171784 क्यूसी-सीआर#2372302 [ 2 ] | एन/ए | उच्च | ऑडियो |
| सीवीई-2019-2331 | ए-132172905 क्यूसी-सीआर#2380697 [ 2 ] | एन/ए | उच्च | ऑडियो |
| सीवीई-2019-2332 | ए-132171963 क्यूसी-सीआर#2380699 [ 2 ] | एन/ए | उच्च | ऑडियो |
| सीवीई-2019-10512 | ए-134439528 क्यूसी-सीआर#2380702 [ 2 ] | एन/ए | उच्च | ऑडियो |
| सीवीई-2019-10515 | ए-134440011 क्यूसी-सीआर#2366038 [ 2 ] | एन/ए | उच्च | गुठली |
| सीवीई-2019-10524 | ए-134440735 क्यूसी-सीआर#2422233 [ 2 ] [ 3 ] | एन/ए | उच्च | कैमरा ड्राइवर |
| सीवीई-2019-10529 | ए-134439992 क्यूसी-सीआर#2442261 | एन/ए | उच्च | रेखाचित्र बनाने वाला |
| सीवीई-2019-10531 | ए-134441415 क्यूसी-सीआर#2402890 [ 2 ] | एन/ए | उच्च | गुठली |
| सीवीई-2018-11891 | ए-134440013 क्यूसी-सीआर#2288859 | एन/ए | उच्च | डब्लूएलएएन होस्ट |
क्वालकॉम बंद-स्रोत घटक
ये कमजोरियाँ क्वालकॉम बंद-स्रोत घटकों को प्रभावित करती हैं और उपयुक्त क्वालकॉम सुरक्षा बुलेटिन या सुरक्षा चेतावनी में आगे विस्तार से वर्णित हैं। इन मुद्दों की गंभीरता का आकलन सीधे क्वालकॉम द्वारा प्रदान किया जाता है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अवयव |
|---|---|---|---|---|
| सीवीई-2019-2258 | ए-123998354 * | एन/ए | गंभीर | बंद-स्रोत घटक |
| सीवीई-2019-10533 | ए-134437210 * | एन/ए | गंभीर | बंद-स्रोत घटक |
| सीवीई-2019-2275 | ए-127347579 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-2246 | ए-127347339 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-10488 | ए-132108617 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-10495 | ए-132108855 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-10496 | ए-132108737 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-2249 | ए-132108854 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-2285 | ए-132109149 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-10504 | ए-134437132 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-10504 | ए-134437173 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-10522 | ए-134437134 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-10534 | ए-134437379 * | एन/ए | उच्च | बंद-स्रोत घटक |
| सीवीई-2019-10541 | ए-134437115 * | एन/ए | उच्च | बंद-स्रोत घटक |
सामान्य प्रश्न और उत्तर
यह अनुभाग उन सामान्य प्रश्नों के उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद उत्पन्न हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन समस्याओं के समाधान के लिए अपडेट किया गया है या नहीं?
किसी डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, अपने Android संस्करण की जांच करें और अपडेट करें देखें।
- 2019-09-01 या बाद के सुरक्षा पैच स्तर 2019-09-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों का समाधान करते हैं।
- 2019-09-05 या बाद के सुरक्षा पैच स्तर 2019-09-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
जिन डिवाइस निर्माताओं में ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर को इस पर सेट करना चाहिए:
- [ro.build.version.security_patch]:[2019-09-01]
- [ro.build.version.security_patch]:[2019-09-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर हैं ताकि एंड्रॉइड भागीदारों के पास सभी एंड्रॉइड डिवाइसों में समान कमजोरियों के एक उपसमूह को अधिक तेज़ी से ठीक करने की सुविधा हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- जो डिवाइस 2019-09-01 सुरक्षा पैच स्तर का उपयोग करते हैं, उनमें उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दों के साथ-साथ पिछले सुरक्षा बुलेटिन में रिपोर्ट किए गए सभी मुद्दों के समाधान भी शामिल होने चाहिए।
- जो डिवाइस 2019-09-05 या नए सुरक्षा पैच स्तर का उपयोग करते हैं, उन्हें इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल करने होंगे।
साझेदारों को उन सभी समस्याओं के समाधान को एक ही अपडेट में बंडल करने के लिए प्रोत्साहित किया जाता है जिन्हें वे संबोधित कर रहे हैं।
3. प्रकार कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियाँ सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।
| संक्षेपाक्षर | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड निष्पादन |
| ईओपी | विशेषाधिकार का उन्नयन |
| पहचान | जानकारी प्रकटीकरण |
| करने योग्य | सेवा की मनाई |
| एन/ए | वर्गीकरण उपलब्ध नहीं है |
4. संदर्भ कॉलम में प्रविष्टियों का क्या अर्थ है?
भेद्यता विवरण तालिका के संदर्भ कॉलम के अंतर्गत प्रविष्टियों में उस संगठन की पहचान करने वाला एक उपसर्ग हो सकता है जिससे संदर्भ मान संबंधित है।
| उपसर्ग | संदर्भ |
|---|---|
| ए- | एंड्रॉइड बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| एम- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी- | ब्रॉडकॉम संदर्भ संख्या |
5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * का क्या मतलब है?
जो मुद्दे सार्वजनिक रूप से उपलब्ध नहीं हैं, उनके संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे * है। उस समस्या का अद्यतन आम तौर पर Google डेवलपर साइट पर उपलब्ध पिक्सेल उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में शामिल होता है।
6. सुरक्षा कमजोरियाँ इस बुलेटिन और डिवाइस/साझेदार सुरक्षा बुलेटिन, जैसे कि पिक्सेल बुलेटिन, के बीच विभाजित क्यों हैं?
इस सुरक्षा बुलेटिन में दर्ज की गई सुरक्षा कमजोरियाँ Android उपकरणों पर नवीनतम सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक हैं। डिवाइस/साझेदार सुरक्षा बुलेटिन में दर्ज अतिरिक्त सुरक्षा कमजोरियाँ सुरक्षा पैच स्तर घोषित करने के लिए आवश्यक नहीं हैं। एंड्रॉइड डिवाइस और चिपसेट निर्माता अपने उत्पादों, जैसे Google , Huawei , LGE , Motorola , Nokia , या Samsung के लिए विशिष्ट सुरक्षा भेद्यता विवरण भी प्रकाशित कर सकते हैं।
संस्करणों
| संस्करण | तारीख | टिप्पणियाँ |
|---|---|---|
| 1.0 | 3 सितंबर 2019 | बुलेटिन प्रकाशित |
| 1.1 | 5 सितंबर 2019 | एओएसपी लिंक को शामिल करने के लिए बुलेटिन को संशोधित किया गया |