5 जून, 2017 को प्रकाशित | 17 अगस्त 2017 को अपडेट किया गया
Android सुरक्षा बुलेटिन में Android उपकरणों को प्रभावित करने वाली सुरक्षा कमजोरियों का विवरण है। 05 जून, 2017 के सुरक्षा पैच स्तर या बाद में इन सभी मुद्दों का समाधान। डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए Pixel और Nexus अपडेट शेड्यूल देखें।
पार्टनर्स को कम से कम एक महीने पहले बुलेटिन में वर्णित मुद्दों के बारे में सूचित किया गया था। इन मुद्दों के लिए स्रोत कोड पैच Android ओपन सोर्स प्रोजेक्ट (AOSP) रिपॉजिटरी में जारी किया जाएगा और इस बुलेटिन से लिंक किया जाएगा। इस बुलेटिन में AOSP के बाहर पैच के लिंक भी शामिल हैं।
इन मुद्दों में से सबसे गंभीर मीडिया फ्रेमवर्क में एक महत्वपूर्ण सुरक्षा भेद्यता है जो मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है। गंभीरता का आकलन इस प्रभाव पर आधारित है कि भेद्यता का शोषण संभवतः एक प्रभावित डिवाइस पर होगा, यह मानते हुए कि मंच और सेवा शमन विकास के उद्देश्यों के लिए बंद कर दिए गए हैं या यदि सफलतापूर्वक बायपास किए गए हैं।
हमारे पास इन नए रिपोर्ट किए गए मुद्दों के सक्रिय ग्राहक शोषण या दुरुपयोग की कोई रिपोर्ट नहीं है। एंड्रॉइड सुरक्षा प्लेटफ़ॉर्म सुरक्षा और Google Play प्रोटेक्ट पर विवरण के लिए एंड्रॉइड और Google Play प्रोटेक्ट मिटिगेशन अनुभाग देखें, जो एंड्रॉइड प्लेटफ़ॉर्म की सुरक्षा में सुधार करते हैं।
हम सभी ग्राहकों को अपने उपकरणों के लिए इन अद्यतनों को स्वीकार करने के लिए प्रोत्साहित करते हैं।
नोट: Google डिवाइस अपडेट अनुभाग में नवीनतम ओवर-द-एयर अपडेट (ओटीए) और Google उपकरणों के लिए फ़र्मवेयर छवियों की जानकारी उपलब्ध है।
घोषणाओं
- हमने मासिक सुरक्षा बुलेटिन को सुव्यवस्थित किया है ताकि पढ़ने में आसानी हो। इस अद्यतन के भाग के रूप में, भेद्यता की जानकारी को प्रभावित घटक द्वारा वर्गीकृत किया जाता है, एक सुरक्षा पैच स्तर के भीतर घटक नाम से क्रमबद्ध किया जाता है, और Google डिवाइस-विशिष्ट जानकारी को समर्पित अनुभाग में होस्ट किया जाता है।
- इस बुलेटिन में एंड्रॉइड पार्टनर को लचीलापन प्रदान करने के लिए दो सुरक्षा पैच लेवल स्ट्रिंग्स हैं जो सभी एंड्रॉइड डिवाइसों के समान समान कमजोरियों को जल्दी से ठीक करने के लिए लचीलापन प्रदान करते हैं। अतिरिक्त जानकारी के लिए सामान्य प्रश्न और उत्तर देखें:
- 2017-06-01 : आंशिक सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-06-01 (और पिछले सभी सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
- 2017-06-05 : पूर्ण सुरक्षा पैच स्तर स्ट्रिंग। यह सुरक्षा पैच स्तर स्ट्रिंग इंगित करता है कि 2017-06-01 और 2017-06-05 (और पिछले सभी सुरक्षा पैच स्तर स्ट्रिंग्स) से जुड़े सभी मुद्दों को संबोधित किया गया है।
एंड्रॉइड और Google प्ले प्रोटेक्ट मिटिगेशन
यह एंड्रॉइड सिक्योरिटी प्लेटफॉर्म और सर्विस प्रोटेक्शन जैसे गूगल प्ले प्रोटेक्ट द्वारा उपलब्ध कराए गए शमन का सारांश है। ये क्षमताएं इस संभावना को कम करती हैं कि एंड्रॉइड पर सुरक्षा कमजोरियों का सफलतापूर्वक शोषण किया जा सकता है।
- एंड्रॉइड प्लेटफ़ॉर्म के नए संस्करणों में एन्हांसमेंट द्वारा एंड्रॉइड पर कई मुद्दों के लिए शोषण को और अधिक कठिन बना दिया जाता है। हम सभी उपयोगकर्ताओं को एंड्रॉइड के नवीनतम संस्करण में जहां संभव हो अपडेट करने के लिए प्रोत्साहित करते हैं।
- एंड्रॉइड सुरक्षा टीम Google Play प्रोटेक्ट के माध्यम से दुरुपयोग के लिए सक्रिय रूप से निगरानी करती है और उपयोगकर्ताओं को संभावित रूप से हानिकारक अनुप्रयोगों के बारे में चेतावनी देती है। Google Play सुरक्षा Google मोबाइल सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम है, और उन उपयोगकर्ताओं के लिए विशेष रूप से महत्वपूर्ण है जो Google Play के बाहर से एप्लिकेशन इंस्टॉल करते हैं।
2017-06-01 सुरक्षा पैच स्तर - भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-06-01 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो उन्हें प्रभावित करते हैं। समस्या का विवरण और CVE, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता और अद्यतन किए गए AOSP संस्करण (जहां लागू हो) के साथ एक तालिका है। जब उपलब्ध होता है, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।
ब्लूटूथ
इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2017-0645 | A-35385327 | ईओपी | उदारवादी | 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0646 | A-33899337 | ईद | उदारवादी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
पुस्तकालयों
इस खंड में सबसे गंभीर भेद्यता एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है जो एक अनपेक्षित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करता है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2015-8871 | A-35443562 * | आरसीई | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-8332 | A-37761553 * | आरसीई | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1 |
| CVE-2016-5131 | A-36554209 | आरसीई | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-4658 | A-36554207 | आरसीई | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0663 | A-37104170 | आरसीई | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7376 | A-36555370 | आरसीई | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-5056 | A-36809819 | आरसीई | उदारवादी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-7375 | A-36556310 | आरसीई | उदारवादी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0647 | A-36392138 | ईद | उदारवादी | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2016-1839 | A-36553781 | करने योग्य | उदारवादी | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
मीडिया की रूपरेखा
इस खंड में सबसे गंभीर भेद्यता मीडिया फ़ाइल और डेटा प्रोसेसिंग के दौरान स्मृति भ्रष्टाचार का कारण बनने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके दूरस्थ हमलावर को सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2017-0637 | A-34064500 | आरसीई | नाजुक | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0391 | A-32322258 | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0640 | A-33129467 * | करने योग्य | उच्च | 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0641 | A-34360591 | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0642 | A-34819017 | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
| CVE-2017-0643 | A-35645051 * | करने योग्य | उच्च | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 |
| CVE-2017-0644 | A-35472997 * | करने योग्य | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 |
सिस्टम यूआई
इस खंड की सबसे गंभीर भेद्यता एक हमलावर को विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके अनपेक्षित प्रक्रिया के संदर्भ में मनमाना कोड निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2017-0638 | ए -36368305 | आरसीई | उच्च | 7.1.1, 7.1.2 |
2017-06-05 सुरक्षा पैच स्तर - भेद्यता विवरण
नीचे दिए गए अनुभागों में, हम 2017-06-05 पैच स्तर पर लागू होने वाली प्रत्येक सुरक्षा कमजोरियों के लिए विवरण प्रदान करते हैं। कमजोरियों को उस घटक के तहत वर्गीकृत किया जाता है जो उन्हें प्रभावित करते हैं और जिसमें सीवीई, संबद्ध संदर्भ, भेद्यता का प्रकार , गंभीरता , घटक (जहां लागू हो), और अद्यतन किए गए एओएसपी संस्करण (जहां लागू हो) जैसे विवरण शामिल हैं। जब उपलब्ध होता है, हम उस सार्वजनिक परिवर्तन को लिंक करते हैं, जिसने बग आईडी को समस्या को संबोधित किया, जैसे AOSP परिवर्तन सूची। जब कई बदलाव एक बग से संबंधित होते हैं, तो बग आईडी के बाद अतिरिक्त संदर्भ नंबर से जुड़े होते हैं।
कर्नेल घटक
इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अंग |
|---|---|---|---|---|
| CVE-2017-0648 | A-36101220 * | ईओपी | उच्च | FIQ डिबगर |
| CVE-2017-0651 | A-35644815 * | ईद | कम | ION सबसिस्टम |
पुस्तकालयों
इस अनुभाग में सबसे गंभीर भेद्यता संवेदनशील जानकारी तक पहुंच प्राप्त करने के लिए एक विशेष रूप से तैयार की गई फ़ाइल का उपयोग करके एक दूरस्थ हमलावर को सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2015-7995 | A-36810065 * | ईद | उदारवादी | 4.4.4 है |
मीडियाटेक घटक
इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अंग |
|---|---|---|---|---|
| CVE-2017-0636 | A-35310230 * M-ALPS03162263 | ईओपी | उच्च | कमांड कतार चालक |
| CVE-2017-0649 | A-34468195 * M-ALPS03162283 | ईओपी | उदारवादी | ध्वनि चालक |
NVIDIA के घटक
इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अंग |
|---|---|---|---|---|
| CVE-2017-6247 | A-34386301 * एन-सीवीई-2017-6247 | ईओपी | उच्च | ध्वनि चालक |
| CVE-2017-6248 | A-34372667 * एन-सीवीई-2017-6248 | ईओपी | उदारवादी | ध्वनि चालक |
| CVE-2017-6249 | A-34373711 * एन-सीवीई-2017-6249 | ईओपी | उदारवादी | ध्वनि चालक |
क्वालकॉम घटक
इस खंड में सबसे गंभीर भेद्यता कर्नेल के संदर्भ में मनमाने कोड को निष्पादित करने के लिए एक समीपवर्ती हमलावर को सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अंग |
|---|---|---|---|---|
| CVE-2017-7371 | A-36250786 QC-CR # 1101054 | आरसीई | नाजुक | ब्लूटूथ ड्राइवर |
| CVE-2017-7365 | A-32449913 QC-CR # 1017009 | ईओपी | उच्च | बूटलोडर |
| CVE-2017-7366 | A-36252171 QC-CR # 1036161 [ 2 ] | ईओपी | उच्च | GPU ड्राइवर |
| CVE-2017-7367 | A-34514708 QC-CR # 1008421 | करने योग्य | उच्च | बूटलोडर |
| CVE-2016-5861 | A-36251375 QC-CR # 1103510 | ईओपी | उदारवादी | वीडियो ड्राइवर |
| CVE-2016-5864 | A- 36251231 QC-CR # 1105441 | ईओपी | उदारवादी | ध्वनि चालक |
| CVE-2017-6421 | A-36251986 QC-CR # 1110563 | ईओपी | उदारवादी | MStar टचस्क्रीन ड्राइवर |
| CVE-2017-7364 | A- 36252179 QC-CR # 1113926 | ईओपी | उदारवादी | वीडियो ड्राइवर |
| CVE-2017-7368 | A-33452365 QC-CR # 1103085 | ईओपी | उदारवादी | ध्वनि चालक |
| CVE-2017-7369 | A-33751424 QC-CR # 2009216 [ 2 ] | ईओपी | उदारवादी | ध्वनि चालक |
| CVE-2017-7370 | A-34328139 QC-CR # 2006159 | ईओपी | उदारवादी | वीडियो ड्राइवर |
| CVE-2017-7372 | A- 36251497 QC-CR # 1110068 | ईओपी | उदारवादी | वीडियो ड्राइवर |
| CVE-2017-7373 | A- 36251984 QC-CR # 1090244 | ईओपी | उदारवादी | वीडियो ड्राइवर |
| CVE-2017-8233 | A-34621613 QC-CR # 2004036 | ईओपी | उदारवादी | कैमरा ड्राइवर |
| CVE-2017-8234 | A-36252121 QC-CR # 832920 | ईओपी | उदारवादी | कैमरा ड्राइवर |
| CVE-2017-8235 | A- 36252376 QC-CR # 1083323 | ईओपी | उदारवादी | कैमरा ड्राइवर |
| CVE-2017-8236 | A-35047217 QC-CR # 2009606 | ईओपी | उदारवादी | आईपीए चालक |
| CVE-2017-8237 | A- 36252377 QC-CR # 1110522 | ईओपी | उदारवादी | नेटवर्किंग ड्राइवर |
| CVE-2017-8242 | A-34327981 QC-CR # 2009231 | ईओपी | उदारवादी | सुरक्षित निष्पादन पर्यावरण संचारक चालक |
| CVE-2017-8239 | A- 36251230 QC-CR # 1091603 | ईद | उदारवादी | कैमरा ड्राइवर |
| CVE-2017-8240 | A- 36251985 QC-CR # 856379 | ईद | उदारवादी | पिन नियंत्रक ड्राइवर |
| CVE-2017-8241 | A-34203184 QC-CR # 1069175 | ईद | कम | वाई-फाई ड्राइवर |
सिनैप्टिक्स घटक
इस खंड में सबसे गंभीर भेद्यता एक स्थानीय दुर्भावनापूर्ण एप्लिकेशन को उसके अनुमति स्तरों के बाहर डेटा तक पहुंचने में सक्षम कर सकती है।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अंग |
|---|---|---|---|---|
| CVE-2017-0650 | A-35472278 * | ईओपी | कम | टचस्क्रीन ड्राइवर |
क्वालकॉम बंद-स्रोत घटक
ये कमजोरियां क्वालकॉम घटकों को प्रभावित करती हैं और 2014-2016 से क्वालकॉम एएमएसएस सुरक्षा बुलेटिन में और विस्तार से वर्णित हैं। वे एंड्रॉइड सुरक्षा पैच स्तर के साथ अपने फिक्स को जोड़ने के लिए इस एंड्रॉइड सुरक्षा बुलेटिन में शामिल हैं। इन कमजोरियों के लिए फिक्स क्वालकॉम से सीधे उपलब्ध हैं।
| सीवीई | संदर्भ | प्रकार | तीव्रता | अंग |
|---|---|---|---|---|
| CVE-2014-9960 | A-37280308 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2014-9961 | A-37279724 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2014-9953 | A-36714770 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2014-9967 | A-37281466 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9026 | A-37277231 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9027 | A-37279124 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9008 | A-36384689 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9009 | A-36393600 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9010 | A-36393101 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9011 | A-36714882 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9024 | A-37265657 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9012 | A-36384691 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9013 | A-36393251 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9014 | A-36393750 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9015 | A-36714120 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2015-9029 | A-37276981 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10338 | A-37277738 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10336 | A-37278436 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10333 | A-37280574 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10341 | A-37281667 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10335 | A-37282802 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10340 | A-37280614 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10334 | A-37280664 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10339 | A-37280575 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10298 | A-36393252 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2016-10299 | A-32577244 * | एन / ए | नाजुक | बंद-स्रोत घटक |
| CVE-2014-9954 | A-36388559 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9955 | A-36384686 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9956 | A-36389611 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9957 | A-36387564 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9958 | A-36384774 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9962 | A-37275888 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9963 | A-37276741 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9959 | A-36383694 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9964 | A-37280321 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9965 | A-37278233 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2014-9966 | A-37282854 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9023 | A-37276138 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9020 | A-37276742 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9021 | A-37276743 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9025 | A-37276744 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9022 | A-37280226 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9028 | A-37277982 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9031 | A-37275889 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9032 | A-37279125 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9033 | A-37276139 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2015-9030 | A-37282907 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2016-10332 | A-37282801 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2016-10337 | A-37280665 * | एन / ए | उच्च | बंद-स्रोत घटक |
| CVE-2016-10342 | A-37281763 * | एन / ए | उच्च | बंद-स्रोत घटक |
Google डिवाइस अपडेट
इस तालिका में नवीनतम ओवर-द-एयर अपडेट (OTA) में सुरक्षा पैच स्तर और Google उपकरणों के लिए फर्मवेयर छवियां हैं। Google डिवाइस फर्मवेयर की छवियां Google डेवलपर साइट पर उपलब्ध हैं।
| Google डिवाइस | सुरक्षा पैच स्तर |
|---|---|
| पिक्सेल / पिक्सेल एक्स्ट्रा लार्ज | 05 जून, 2017 |
| नेक्सस 5 एक्स | 05 जून, 2017 |
| नेक्सस 6 | 05 जून, 2017 |
| नेक्सस 6 पी | 05 जून, 2017 |
| नेक्सस 9 | 05 जून, 2017 |
| नेक्सस प्लेयर | 05 जून, 2017 |
| पिक्सेल सी | 05 जून, 2017 |
Google डिवाइस अपडेट में इन सुरक्षा कमजोरियों के लिए पैच भी शामिल हैं, यदि लागू हो:
| सीवीई | संदर्भ | प्रकार | तीव्रता | अपडेटेड AOSP संस्करण |
|---|---|---|---|---|
| CVE-2017-0639 | A-35310991 | ईद | उच्च | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 |
स्वीकृतियाँ
हम इन शोधकर्ताओं को उनके योगदान के लिए धन्यवाद देना चाहेंगे:
| सीवीई | शोधकर्ताओं |
|---|---|
| CVE-2017-0643, CVE-2017-0641 | ट्रेंड माइक्रो का एकुलर जू (ular) |
| CVE-2017-0645, CVE-2017-0639 | एन वह ( @ heeeeen4x ) और बो लियू MS509Team |
| CVE-2017-0649 | Gengjia चेन ( @ chengjia4574 ) और pjf IceSword लैब की, Qihoo 360 प्रौद्योगिकी कंपनी लिमिटेड |
| CVE-2017-0646 | Tencent पीसी प्रबंधक के Godzheng (文选 - @VirtualSeekers ) |
| CVE-2017-0636 | शेलफिश ग्रिल टीम के जेक कोरिना ( @JakeCorina ) |
| CVE-2017-8233 | जियानकियांग झाओ ( @jianqiangzhao ) और पीजेएफ ऑफ आइसवर्ड लैब, क्यूहु 360 |
| CVE-2017-7368 | लुबो झांग ( zlbzlb815@163.com ), युआन-त्सुंग लो ( computernik@gmail.com ), और C0RE टीम के जुक्सियान जियांग |
| CVE-2017-8242 | टेस्ला की उत्पाद सुरक्षा टीम के नाथन क्रैंडल ( @natecray ) |
| CVE-2017-0650 | ओमर शवार्ट्ज, अमीर कोहेन, डॉ। आसफ शबताई और बेन गुरू यूनिवर्सिटी यूनिवर्सिटी लैब के डॉ। योसी ओरेन |
| CVE-2017-0648 | एफी रिसर्च , एचसीएल टेक्नोलॉजीज के रोए हे ( @roeehay ) |
| CVE-2017-7369, CVE-2017-6249, CVE-2017-6247, CVE-2017-6248 | ट्रेंडमाइक्रो के सेवेंसन ( @lingtongshen ) |
| CVE-2017-0642, CVE-2017-0637, CVE-2017-0638 | वसीली वासिलिव |
| CVE-2017-0640 | मोबाइल थ्रेट रिस्पांस टीम , ट्रेंड माइक्रो का VEO ( @VYSEa ) |
| CVE-2017-8236 | Tencent सुरक्षा प्लेटफ़ॉर्म विभाग के Xiling गोंग |
| CVE-2017-0647 | यांगकांग ( @dnpushme ) और Qex टीम का लियाडॉन्ग, Qihoo 360 |
| CVE-2017-7370 | योंगगांग गुओ ( @guoygang ) की IceSword Lab, Qihoo 360 Technology Co. Ltd |
| CVE-2017-0651 | युआन-स्युंग लो ( computernik@gmail.com ) और C0RE टीम के जुक्सियान जियांग |
| CVE-2017-8241 | गूगल के जुबिन मिश्रा |
आम सवाल और जवाब
यह खंड उन सामान्य प्रश्नों का उत्तर देता है जो इस बुलेटिन को पढ़ने के बाद हो सकते हैं।
1. मैं कैसे निर्धारित करूं कि मेरा डिवाइस इन मुद्दों को हल करने के लिए अपडेट किया गया है?
डिवाइस के सुरक्षा पैच स्तर की जांच करने का तरीका जानने के लिए, पिक्सेल और नेक्सस अपडेट शेड्यूल के निर्देशों को पढ़ें।
- 2017-06-01 के सुरक्षा पैच स्तर या बाद में 2017-06-01 सुरक्षा पैच स्तर से जुड़े सभी मुद्दों को संबोधित करते हैं।
- 2017-06-05 के सुरक्षा पैच स्तर या बाद में 2017-06-05 सुरक्षा पैच स्तर और सभी पिछले पैच स्तरों से जुड़े सभी मुद्दों को संबोधित करते हैं।
डिवाइस निर्माता जिनमें ये अपडेट शामिल हैं, उन्हें पैच स्ट्रिंग स्तर पर सेट करना चाहिए:
- [ro.build.version.security_patch]: [2017-06-01]
- [ro.build.version.security_patch]: [2017-06-05]
2. इस बुलेटिन में दो सुरक्षा पैच स्तर क्यों हैं?
इस बुलेटिन में दो सुरक्षा पैच स्तर होते हैं ताकि एंड्रॉइड पार्टनर में कमजोरियों का एक सबसेट ठीक करने का लचीलापन हो जो सभी एंड्रॉइड डिवाइसों पर समान रूप से जल्दी से समान हो। एंड्रॉइड भागीदारों को इस बुलेटिन में सभी मुद्दों को ठीक करने और नवीनतम सुरक्षा पैच स्तर का उपयोग करने के लिए प्रोत्साहित किया जाता है।
- 01 जून, 2017 सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में उस सुरक्षा पैच स्तर से जुड़े सभी मुद्दे शामिल होने चाहिए, साथ ही पिछले सुरक्षा बुलेटिनों में बताए गए सभी मुद्दों के लिए सुधार शामिल हैं।
- 05 जून, 2017 या नए या नए सुरक्षा पैच स्तर का उपयोग करने वाले उपकरणों में इस (और पिछले) सुरक्षा बुलेटिन में सभी लागू पैच शामिल होने चाहिए।
साझेदारों को उन सभी मुद्दों के लिए सुधार करने के लिए प्रोत्साहित किया जाता है, जिन्हें वे एक अद्यतन में संबोधित कर रहे हैं।
3. टाइप कॉलम में प्रविष्टियों का क्या मतलब है?
भेद्यता विवरण तालिका के प्रकार कॉलम में प्रविष्टियां सुरक्षा भेद्यता के वर्गीकरण का संदर्भ देती हैं।
| संक्षिप्त | परिभाषा |
|---|---|
| आरसीई | रिमोट कोड निष्पादन |
| ईओपी | विशेषाधिकार का उत्थान |
| ईद | जानकारी प्रकटीकरण |
| करने योग्य | सेवा की मनाई |
| एन / ए | वर्गीकरण उपलब्ध नहीं है |
4. संदर्भ कॉलम में प्रविष्टियां क्या हैं?
भेद्यता विवरण तालिका के संदर्भ कॉलम के तहत प्रविष्टियां उस संगठन की पहचान करने के लिए एक उपसर्ग हो सकती हैं जिसमें संदर्भ मान होता है।
| उपसर्ग | संदर्भ |
|---|---|
| ए- | Android बग आईडी |
| QC- | क्वालकॉम संदर्भ संख्या |
| म- | मीडियाटेक संदर्भ संख्या |
| एन- | NVIDIA संदर्भ संख्या |
| बी | ब्रॉडकॉम संदर्भ संख्या |
5. संदर्भ कॉलम में एंड्रॉइड बग आईडी के आगे एक * क्या है?
सार्वजनिक रूप से उपलब्ध नहीं होने वाले मुद्दों में संदर्भ स्तंभ में Android बग ID के आगे एक * है । उस समस्या के लिए अद्यतन आमतौर पर Google डेवलपर साइट से उपलब्ध नेक्सस उपकरणों के लिए नवीनतम बाइनरी ड्राइवरों में निहित है।
संस्करणों
| संस्करण | तारीख | टिप्पणियाँ |
|---|---|---|
| 1.0 | 5 जून, 2017 | बुलेटिन प्रकाशित। |
| १.१ | 7 जून, 2017 | बुलेटिन AOSP लिंक शामिल करने के लिए संशोधित। |
| 1.2 | 11 जुलाई, 2017 | बुलेटिन ने CVE-2017-6249 को शामिल करने के लिए संशोधित किया। |
| १.३ | 17 अगस्त, 2017 | संदर्भ संख्या अपडेट करने के लिए बुलेटिन संशोधित। |